チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「ActiveMQを社内で使ってるけど、また脆弱性なの?」
「CISA KEVに載るって、どれくらい急いで対応すればいい?」
チップスボス!
ActiveMQにCVSS 8.8の脆弱性が見つかって、もう野放しで悪用されてるでしゅ!
連邦政府は4月30日までに直さないといけないらしいでしゅ!
ボスKEV入りは「すでに攻撃者が撃っている」という意味だ。
しかもJolokia APIを経由したRCEで、デフォルト認証情報(admin:admin)のまま運用している環境は事実上ノーガード状態になる。
他人事ではないぞ。
米CISAは2026年4月16日、Apache ActiveMQのCVE-2026-34197(CVSS 8.8)を既知悪用脆弱性カタログ(KEV)に追加しました。
連邦政府機関には4月30日までの修正が義務付けられ、FortiGuard Labsは14日をピークに大量の悪用試行を観測しています。
メッセージキュー基盤を持つ日本企業が押さえるべき優先対応を整理します。
ActiveMQはJavaベースのオープンソースメッセージブローカで、金融・製造・通信など基幹システムで広く採用されています。
この脆弱性は入力検証不備によるコードインジェクションです。
攻撃者はActiveMQのJolokia API経由で管理操作を呼び出し、外部の設定ファイルをブローカに読ませることで任意OSコマンドを実行させます。
ベースは認証を要する設計ですが、admin:adminといったデフォルト認証情報の放置が多く、実質的にゼロ認証での侵入が成立している環境もあります。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-34197 |
| CVSS v3 | 8.8(High) |
| 影響バージョン | 5.19.4未満、6.0.0〜6.2.3未満 |
| 修正版 | ActiveMQ 5.19.4 / 6.2.3 |
| FCEB修正期限 | 2026年4月30日 |
さらに6.0.0〜6.1.1系は、Jolokia APIの認証が別の不具合(CVE-2024-32114)で外れるケースがあり、実質無認証RCEとして機能します。
詳細はBleepingComputerの解説記事で確認できます。
チップスうちはActiveMQを社内ネットワークの中だけで使ってるから、大丈夫でしゅよね?
ボスそれは半分正解、半分危険だ。
内部ネットにいても、侵入済みのWebアプリやVPN経由でJolokiaに辿り着ければ、攻撃は成立する。
「内側だから安全」はもう通用しない考え方だ。
ActiveMQはバックエンドの決済・注文・在庫連携など重要システムに組み込まれているため、停止時間の調整が難しい場合があります。
第一選択は5.19.4または6.2.3への即時アップデートです。
即時更新が難しい場合は、Jolokiaエンドポイントへのアクセスをネットワーク層で制限し、デフォルト認証情報を即時変更してください。
以下は並行して進めるべき項目です。
KEV入りから数日で大量スキャン・悪用の痕跡が報告されていることから、ここは速度勝負の局面です。
メンテナンス枠を待つ間に侵害されてしまえば、影響範囲はActiveMQの先の業務システム全体に及びます。
チップスActiveMQがどこにどれだけあるか、把握できてない部署もあるでしゅ…。
棚卸しから始めるでしゅ。
ボス資産管理ができていないことこそ、攻撃者にとって最大の贈り物だ。
この機会に全ミドルウェアの棚卸しを進めろ。
それが今後あらゆるKEV対応を楽にする。
CVE-2026-34197は、デフォルト認証のまま運用されがちなメッセージブローカに潜む「見えない爆弾」でした。
CISA KEV入りと4月30日の修正期限は、連邦政府以外にとっても実質的なパッチ期限と捉えるべきです。
ActiveMQの棚卸し・バージョン更新・認証情報見直しを48時間以内に着手することをおすすめします。
