Webホスティングの現場を揺るがす深刻な事態が進行中だ。cPanel/WHMに存在する認証バイパス脆弱性(CVE-2026-41940)が実際の攻撃に使われ、すでに4万4千台以上のIPアドレスを持つサーバーが侵害されたとの報告が上がっている。パッチは緊急リリース済みだが、適用が遅れればランサムウェアの被害を受けるリスクがある。
何が起きているのか
cPanelとWHMは、Linuxベースのレンタルサーバーや共有ホスティング環境で広く使われるコントロールパネルだ。WHMがサーバー全体の管理を担い、cPanelが各ウェブサイトのファイル・メール・データベースへのアクセスを提供する。
今回発覚したCVE-2026-41940は、認証を完全に迂回してコントロールパネルにアクセスできる「認証バイパス」の脆弱性だ。緊急パッチがリリースされた直後から大規模な悪用が報告され、インターネットセキュリティ監視機関のShadowserverは少なくとも4万4千のIPアドレスが侵害されたと発表している。さらに、実際の悪用は2月下旬からゼロデイとして始まっていたとされており、パッチ公開前から被害が蓄積していた。
「Sorry」ランサムウェアの技術的詳細
今回の攻撃で使用されている「Sorry」ランサムウェアは、Go言語で書かれたLinux向け暗号化ツールだ。感染すると、すべてのファイルに.sorry拡張子が付加され、各フォルダにREADME.mdという身代金要求ファイルが作成される。
暗号化方式はChaCha20ストリーム暗号を採用し、その暗号化キー自体はRSA-2048公開鍵で保護されている。セキュリティ研究者のRivitnaによると、「対応する秘密鍵なしに復号は不可能」とのこと。交渉には匿名メッセンジャーToxが指定されており、被害者は固定のTox IDを通じて攻撃者にコンタクトするよう指示される。
2018年にも.sorry拡張子を使うランサムウェアが存在したが、当時とは全く異なるエンジンを使っており、今回のキャンペーンとは無関係だ。
実務への影響——日本のサーバー管理者が取るべき行動
1. パッチ適用を最優先で cPanel/WHMを運用している場合、公式の緊急セキュリティアップデートを即座に適用すること。「あとで」は通じない状況だ。
2. 侵害の痕跡確認
パッチ適用と並行して、.sorry拡張子のファイルやREADME.mdの存在、不審なGoバイナリのプロセスがないかを確認する。ShadowserverのデータやVirusTotalで自サーバーのIPが既知の侵害リストに含まれていないかも確認したい。
3. レンタルサーバー利用者もアクションを cPanel/WHMは自社運用だけでなく、多くのレンタルサーバー事業者が採用している。ホスティング事業者がパッチを当てたかどうかを問い合わせることも重要だ。
4. バックアップの健全性確認 万一の際に復元できるよう、バックアップが最新かつ感染していないことを確認する。ランサムウェアはバックアップ先にもアクセスできれば上書きしてくることがある。
筆者の見解
今回の件が改めて示しているのは、「攻撃者の動きはパッチリリースを待たない」という現実だ。CVE-2026-41940はゼロデイとして既に2月から悪用されており、ベンダーがパッチを出す頃にはすでに被害が拡大していた。「今動いているから大丈夫」という判断がどれほど危険か、4万4千台という数字が雄弁に語っている。
cPanel/WHMというソフトウェアの普及度が、攻撃者にとって高価値なターゲットにしている点も見逃せない。「使われているものが狙われる」——これはセキュリティの基本原則だが、共有ホスティング環境では一台の侵害が同居する多数のサイトに影響することを忘れてはならない。
技術的な暗号化設計(ChaCha20 + RSA-2048の組み合わせ)は残念ながら堅牢で、解読の見込みがない。これは「入り口を守ることが全て」という現実を示している。入られてしまってからでは詰みだ。入口の鍵(認証)をしっかり管理するという当たり前のことが、結局は最大の防御になる。
GoogleがすでにSorryランサムウェアの被害サイトをインデックスしているという報告もあり、被害は世界規模で広がっている。日本のホスティング事業者やWebサイト運営者は、今すぐパッチ状況を確認してほしい。「自分は大丈夫」という思い込みが一番危ない。
出典: この記事は Critrical cPanel flaw mass-exploited in “Sorry” ransomware attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。