チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Jupyter Serverってデータ分析でよく使うやつでしゅよね?オープンリダイレクトって何が怖いんでしゅか?」
「うちの研究部門でも使ってるかもでしゅが、本当に放置すると被害があるんでしゅか?」
チップスボス、JVNでJupyter Serverの脆弱性が公表されたんでしゅよね?オープンリダイレクトって、ただURLが飛ぶだけじゃないんでしゅか?
ボスふふふ、いい質問だな。「ただURLが飛ぶだけ」と思われがちだが、信頼ドメインから不正サイトに飛ばされる仕掛けは、フィッシングの成功率を大きく押し上げる。AI開発基盤の信頼性に関わる問題だ。
2026年5月28日、JPCERT/CCとIPAは、Jupyter Server 2.17.0以前に存在するオープンリダイレクト脆弱性CVE-2025-61669を、情報セキュリティ早期警戒パートナーシップに基づき公表しました。
本記事では、脆弱性の仕組みと、AI・データ分析の現場で取るべき対策を整理していきます。
Jupyter Serverは研究機関・企業のAI開発現場で標準的に使われており、踏み台化されれば組織のブランドごとフィッシングに加担させられる恐れがあります。
事件の概要、脆弱性の仕組み、そして利用組織が取るべき対策の順に深掘りしていきます。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
本件はサイバーディフェンス研究所の岩崎徳明氏が早期警戒パートナーシップを通じて報告した事案です。
対象はJupyter Server 2.17.0以前で、深刻度は中〜高に位置付けられています。
公表されている数値を以下に整理しました。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2025-61669 |
| 脆弱性種別 | オープンリダイレクト(CWE-601) |
| CVSS v3.0 / v4.0 | 7.4 / 6.3 |
| 対象バージョン | Jupyter Server 2.17.0以前 |
チップスnextパラメータって、ログイン後の戻り先を指定するやつでしゅよね?そこに不正なURLを差し込まれるってことでしゅか?
ボスその通り。検証が甘いとnext=https://攻撃者サイト みたいな指定で、信頼されたJupyterドメイン経由で外部に飛ばされる。組織の正規URLに見える分、利用者は警戒を解いてしまう。
オープンリダイレクトは単独では情報漏洩を直接起こさないものの、攻撃の起点として極めて有用です。
攻撃者は研究者の名簿や論文サイトを足掛かりに、組織のJupyter URLを偽装したリンクを配布します。
典型的に発生し得る被害は以下の通りです。
チップスということは、Jupyterそのものの中のデータは無事でも、利用者が騙されちゃうってことでしゅか…。
ボスそうだな。社内向け開発基盤は外部公開のWebサービスより無防備に運用されがちで、URL検査も後回しになりやすい。今回のような事案が出たタイミングで再点検するのが肝要だ。
JVNの公式アドバイザリと開発元のセキュリティ情報を踏まえ、優先度の高い順に整備するのがおすすめです。
具体的なアクションは以下の通りです。
オープンリダイレクトはCVSSが極端に高いわけではないため、優先度を後回しにされがちな脆弱性です。
しかし、AI・データ分析基盤は研究情報や顧客データに直結するため、信頼ドメインが踏み台になるダメージは想像以上に大きくなります。
ボス軽微に見える脆弱性ほど、フィッシングの起点に悪用される。AI開発基盤の脆弱性管理は、外部公開Webと同じ厳しさで臨むべきだ。
チップスうちの研究部門にも、すぐ確認してみるでしゅ。アップデートだけで防げるなら、やるしかないでしゅ!
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
