チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「自社のAIチャットの会話内容が、知らない第三者に見えていたらどうしよう……」
「DifyでAIアプリを構築しているけど、セキュリティ面で大丈夫なの?」
チップスボス、Difyに重大な脆弱性が見つかったって聞いたでしゅ。うちも社内AIツールをDifyで作っているでしゅ……
ボス「DifyTap」のことだな。他テナントのAI会話履歴を丸ごと盗聴できる脆弱性が4件発見された。日本のAI活用企業にも直接影響する話だ、すぐ確認が必要だぞ。
100万件超のAIアプリを動かすオープンソースプラットフォーム「Dify」に、AIチャット履歴を盗聴できる重大脆弱性群「DifyTap」が発覚しました。
Zafran Securityが発見した4件の脆弱性のうち2件は最高ランクの深刻度で、日本企業のAI導入環境にも直接影響します。
この記事では、DifyTapの技術的な仕組みと攻撃リスク、そして今すぐ取るべき対応を解説します。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
セキュリティ企業Zafran Securityが、AIアプリ構築プラットフォームDifyの深刻な構造欠陥を発見しました。
DifyはオープンソースのAIアプリ開発プラットフォームで、LLMを活用したチャットボット・自動化ワークフロー・RAGシステムなどを低コードで構築できます。
その手軽さから世界で100万件超のAIアプリが稼働しており、日本企業でも社内AIツール構築に広く採用されています。
SaaS版のマルチテナント環境では、複数の組織がひとつの基盤を共有して利用する構造になっています。
今回発見された4件の脆弱性の概要は以下の通りです。
| CVE番号 | CVSS | 内容 | 修正状況 |
|---|---|---|---|
| CVE-2026-41947 | 9.1(クリティカル) | トレースエンドポイントでテナント所有権を未検証、他テナントのAI会話を持続的に盗聴可能 | v1.14.2で修正済み |
| CVE-2026-41948 | 9.4(クリティカル) | 詳細未公開の認証回避系脆弱性 | GitHubにマージ済み(次期リリース予定) |
| CVE-2026-41949 | — | ファイルプレビューエンドポイントの認可バイパス、全テナントのアップロードファイルを読み取り可能 | v1.14.2で修正済み |
| CVE-2026-41950 | — | チャットメッセージリクエストへの任意ファイルUUID埋め込みで同一テナント内の全ファイルを読み取り可能 | v1.14.2で修正済み |
チップス標準ユーザー権限だけで攻撃できるんでしゅか?管理者じゃなくてもでしゅか?
ボスそうだ。無料アカウントでサインアップするだけで、他のテナントが使っているAIの会話内容を丸ごと盗聴するチャネルを設定できてしまう。
CVE-2026-41947の攻撃シナリオは次の通りです。
攻撃者はDifyの標準ユーザーアカウントを取得し、アプリケーションIDを入手します。
次に、テナント所有権を検証しないトレースエンドポイントを悪用して、被害テナントのアプリにトレース設定を仕込みます。
以降、そのアプリに届くすべてのAI会話(プロンプトとモデルの応答)が、攻撃者の指定したサーバに流れ続けます。
一度設定すれば持続的なデータ抽出チャネルが完成し、被害テナントは気づく手段がありません。
AI活用が広がる日本企業にとって、DifyTapは業務情報漏洩に直結する重大なリスクです。
DifyのSaaS(クラウド版)とセルフホスト版の両方が影響を受ける可能性があります。
特にリスクが高い利用形態は以下の通りです。
特に顧客との会話・契約情報・医療データなどを扱うAIアプリでは、情報漏洩が直接的なコンプライアンス違反につながります。
チップスうちはDifyをセルフホストで使っているでしゅ。何をすればいいでしゅか?
ボスまず使っているバージョンを確認する。1.14.2未満なら今すぐアップデートだ。その間にAI会話に機密情報を流していなかったかも見直してほしい。
対応の優先順位は以下の通りです。
ボスAIプラットフォームの脆弱性は、AIに入力した情報がそのまま攻撃者に届くという従来とは異なるリスクを生む。今後も生成AI基盤の脆弱性は増えていく。「使う前にセキュリティを確認する」が当たり前になってほしい。
チップスバージョン確認とアップデート、すぐやるでしゅ!ログも一緒に確認するでしゅ!
DifyのAIプラットフォームに、他テナントのAI会話履歴を盗聴できる重大脆弱性「DifyTap」が4件発覚しました。
最高深刻度の2件を含む脆弱性は、標準ユーザー権限だけで悪用可能な深刻さで、日本企業のAI活用環境にも直撃します。
バージョン1.14.2へのアップデートと、AIへの入力情報の棚卸しを今すぐ着手することが得策です。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
