チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Apache Flinkでデータ処理基盤を組んでいるけど、認証済みユーザーがコード実行できるって本当?」
「SQLのエスケープ処理に不備って、自社のクエリを見直せば大丈夫なの?」
チップスボス、Flinkにクリティカル脆弱性って出てましゅけど、ストリーム処理基盤って業務システムでも結構使われてましゅよね?
ボスうむ、CVE-2026-35194だ。CVSS 8.1で、SQLコード生成のエスケープ処理に不備があり、認証済みユーザーがTaskManager上で任意コード実行できる。
本記事ではApache Flinkの新しい脆弱性CVE-2026-35194の仕組みと、影響範囲、適切なアップデート判断を解説します。
リアルタイム分析・データ連携基盤でFlinkを採用している組織は確認が必要です。
続きを読めば、Flink環境で確認すべき箇所と、社内に複数の分析担当者がいる組織で取るべき優先対応が見えてきます。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
FlinkはSQLクエリを内部でJavaコードに変換して実行します。
その変換ロジックに脆弱性があり、エスケープ漏れがそのままコード実行につながります。
脆弱性はFlinkのSQLコード生成処理における文字列エスケープ処理の不備です。
JSON関数処理と、ESCAPE句を伴うLIKE式が該当する経路として明らかにされています。
細工されたクエリを送信すると、生成される実行コード(TaskManager上で動くJavaクラス)に攻撃者の文字列が組み込まれ、任意コードが実行される構造です。
影響範囲と修正版を整理します。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-35194 |
| CVSS | 8.1(クリティカル) |
| 影響経路 | JSON関数処理/ESCAPE句を伴うLIKE式 |
| 前提条件 | 認証済みかつクエリ送信権限を保持 |
| 修正版 | Flink 2.2.1/2.1.2/2.0.2/1.20.4 |
TaskManagerは実際の計算処理を担うFlinkのワーカープロセスです。
クラスタ内で広範なデータアクセス権限を持ち、コネクタを通じて外部のRDB・Kafka・S3にも接続します。
ここでコード実行されると、分析対象データの抜き取りや、横展開してのクラスタ全体侵害につながるおそれがあります。
チップス分析基盤って、社内データの大半が集まる場所でしゅよね…そこを乗っ取られたら大事件でしゅ。
ボスうむ、データ基盤は機密の集積地だ。エンドポイント1台より、こちらが侵害される方が痛い。
Flinkはバージョンが頻繁に上がるプロダクトで、いま使っている系列が古いほど対応の手間が増えます。
更新方針と運用上の補助策を整理しましょう。
4系列に修正版が出ているため、自社で稼働中の系列に近いマイナー更新で済ませられるのが利点です。
2.x系を使っている場合は最新パッチへ、1.x系を使っている場合は1.20.4が選択肢になります。
古い1.16以前を使っているケースでは、サポート切れの可能性も含めて1.20系へ移行する判断が必要です。
更新前のチェック項目はこちらです。
認証済み前提の脆弱性は、社内利用者の権限管理で被害範囲が大きく変わります。
分析者のロールと、運用者・データエンジニアのロールを明確に分け、書き込みやUDF登録は最小限のメンバーに絞るべきです。
監査ログには送信元アカウント・クエリ全文・タイムスタンプを残し、異常なクエリを後追いできる体制を整えるのが安全です。
チップス分析担当が多いと、誰が何を流したか分からなくなりがちでしゅよね…
ボスうむ、ログを残せ。残せば犯人が分かる。残さなければ何も分からん。
CVE-2026-35194は技術的には地味なエスケープ漏れですが、Flink環境では決して軽い問題ではありません。
取るべき行動を整理します。
チップス分析基盤を守る具体的なアクションが分かったでしゅ!
ボスうむ、データを守ることはビジネスを守ることだ。地味でも確実に進めよ。
詳しい情報はSecurity NEXTの報道とApache Flink公式アドバイザリを参照してください。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
