米国のサイバーセキュリティ機関CISAが、Apache ActiveMQに存在する高深刻度の脆弱性(CVE-2026-34197)が実際の攻撃で悪用されていることを確認した。この脆弱性の最大の特徴は、13年間にわたって見過ごされてきたという点にある。パッチは2026年3月30日に提供されたが、既に攻撃者に悪用されている以上、対象システムを運用する組織は一刻も早い対応が求められる。

Apache ActiveMQとは——「縁の下の力持ち」が狙われた

Apache ActiveMQはJavaベースのオープンソースメッセージブローカーで、アプリケーション間の非同期通信を担う。マイクロサービスアーキテクチャや企業内SOA基盤に広く使われており、日本の大企業でも「気づいたら使っていた」という形で稼働しているケースが少なくない。

今回のCVE-2026-34197は入力検証の不備に起因する。認証済みの攻撃者がインジェクション攻撃を通じて任意のコードをリモート実行できる。発見したHorizon3の研究者は、AIを活用した解析ツールを使ってこの欠陥を掘り起こした——人間の目が13年間見落としてきたものを、AIが別の角度から発見したというわけだ。

パッチ済みバージョンはActiveMQ Classic 6.2.3 および 5.19.4。これ以前のバージョンを使用しているシステムは即時アップデート対象と考えてほしい。

CISAがKEVカタログに追加、政府機関に4月30日までの対応を命令

CISAは今回の脆弱性を「既知の悪用済み脆弱性(KEV: Known Exploited Vulnerabilities)カタログ」に追加し、連邦政府の民間機関(FCEB)に対して4月30日までのパッチ適用を義務付けた。

脅威監視サービスShadowServerの調査では、インターネットに公開されたActiveMQサーバーが現時点で7,500台超確認されている。これらはすべて潜在的な攻撃対象だ。

Horizon3はログによる侵害確認方法も公開している。ActiveMQブローカーのログで以下のシグネチャを探すとよい:

  • brokerConfig=xbean:http:// クエリパラメータを含む不審な接続
  • 内部トランスポートプロトコル VM を使用した異常なブローカー接続

ActiveMQは繰り返し狙われてきた「常連ターゲット」

ActiveMQに対する大規模攻撃は今回が初めてではない:

  • CVE-2023-46604: TellYouThePassランサムウェアグループがゼロデイとして悪用
  • CVE-2016-3088: これも実際の攻撃で確認済み

Horizon3が指摘するように、「ActiveMQに対する攻撃手法とポスト・エクスプロイテーションの技術は攻撃者の間で広く知られている」。過去の悪用実績があるということは、攻撃のTTP(戦術・技術・手順)が体系化されているということでもある。今回の新たな脆弱性情報は、既存の攻撃ツールキットに組み込まれるのが早い。

実務への影響——日本の現場で今すぐ確認すべきこと

1. バージョン確認と即時更新

ActiveMQ Classic 6.2.3 / 5.19.4 未満のバージョンは即時更新対象。まず環境内のActiveMQインスタンスを洗い出すことから始めよう。コンテナや古いオンプレサーバーで「存在を忘れていた」インスタンスが潜んでいないか確認する。

2. インターネット露出の排除

7,500台超がインターネットに公開されているという数字は衝撃的だ。ActiveMQブローカーはそもそも外部から直接アクセスさせるべきではない。VPCやプライベートサブネット、ファイアウォールで外部からのアクセスを遮断しているか確認する。

3. ログ監視と侵害確認

上述のシグネチャを使った侵害確認を今すぐ実施してほしい。パッチ適用前に既に侵害されていた場合、パッチだけでは不十分だ。

4. 認証強化

「認証済み攻撃者」が前提の脆弱性だが、認証情報の漏洩(フィッシング、クレデンシャルスタッフィング等)と組み合わせると実質的に誰でも悪用できる。ActiveMQの認証設定を見直し、最小権限の原則が守られているか確認する。

筆者の見解

「13年間見過ごされていた」という事実に、私は正直ゾッとした。

ActiveMQのような枯れたミドルウェアは、「長く使われてきた=安定している=安全」という誤解が生まれやすい。しかし実態は逆で、「長く使われてきた=長い間、潜在的な脆弱性が眠っていた可能性がある」だ。今動いているから大丈夫、という思考が最も危険な盲点になる。

興味深いのは、この欠陥がAIによる解析で発見されたという点だ。人間の研究者が13年間見落としてきたものを、AIが別の視点から引っ張り出した。これは防御側にとっての朗報だが、同時に攻撃側が同じアプローチで「まだ誰も気づいていない脆弱性」を大量発掘する時代が来ることを示唆している。セキュリティチームにもAIを活用した継続的な脆弱性スキャンの仕組みが必要になる。

ゼロトラストの文脈で言えば、今回の件はまさに「境界型セキュリティの限界」の典型例だ。ネットワーク境界で守っている気になっていても、内部の古いミドルウェアが足元を崩す。ネットワーク層・認証層・認可層の多層防御と継続的なアセット管理——「存在すら忘れていたActiveMQサーバー」を減らすことが、実は最も効果的な対策になる。

レガシー基盤と向き合い続けている日本の現場にとって、今回の件は「明日は我が身」の警告として受け止めてほしい。

出典: この記事は CISA flags Apache ActiveMQ flaw as actively exploited in attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。