チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「社内でDifyを使ってLLMアプリを作っているけど、安全に運用できているの?」
「テナント越境って、他社の会話が見えちゃうってこと?」
チップスボス、DifyってLLMアプリの開発基盤でしゅよね? そこにクリティカルな脆弱性が出たって本当でしゅか?
ボスうむ、5月19日に2件公表された。CVE-2026-41948のパストラバーサルと、CVE-2026-41947の認可バイパスだ。
本記事ではLLMアプリ開発基盤「Dify」に判明した2件の脆弱性を整理し、テナント越境がもたらすリスクと優先対応を解説します。
マルチテナントでLLMサービスを運用する企業にとって、見過ごせない事案です。
続きを読めば、Difyを社内導入している組織が今すぐ確認すべき点と、マルチテナント設計の落とし穴が見えてきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
どちらの脆弱性も、本来テナント単位で隔離されるべき情報や操作が越境してしまう構造的な問題です。
LLMサービス特有のリスクが顕在化したケースとして注目されます。
PluginデーモンのREST APIで、転送リクエストの操作が可能となるパストラバーサル脆弱性です。
テナントUUIDを把握している攻撃者が、タスク識別子やファイル名を細工することで、本来公開されない内部エンドポイントへアクセスできます。
テナント分離が前提のSaaS型運用では、テナントUUIDの漏洩自体が即座に攻撃成立条件になり得る点が深刻です。
2件の脆弱性の概要は次のとおりです。
| CVE | 種別 | 影響 |
|---|---|---|
| CVE-2026-41948 | パストラバーサル | Pluginデーモン経由で内部APIへアクセス |
| CVE-2026-41947 | 認可バイパス | 他テナントのトレース設定変更、LLMメッセージ転送 |
| 対象バージョン | Dify 1.14.1 以前 | |
編集者権限レベルで、トレース設定エンドポイントにおけるテナント所有権の確認に不備があります。
他テナントのアプリケーションのトレース設定を変更でき、LLMとのメッセージが第三者のLLMトレースプロバイダに転送される構造です。
顧客との対話履歴や社内向けFAQの問い合わせ内容など、機密性の高い文字列がそのまま外部に流出するシナリオが現実に存在します。
チップス会話の内容がまるごと外に流れるって、業務利用だとかなり怖いでしゅ…
ボスうむ、社内ヘルプデスクや顧客対応に組み込んでいると、個人情報や契約情報まで漏れかねない。
セルフホスト型のLLM基盤は、便利な反面、運用責任が利用者側に強くのしかかります。
今回の脆弱性を機に、運用体制を見直すきっかけにしましょう。
Dify 1.14.1以前を運用している場合は、まず最新版へのアップデートを最優先で進める必要があります。
同時に、トレース設定エンドポイントへの過去アクセスログを点検し、不審なテナント間操作の痕跡がないか確認するべきです。
LLMトレース転送先(Langfuse、LangSmithなど)の設定が改ざんされていないかも、テナントごとに確認するのが安全です。
当面の対応事項を整理します。
LLMアプリの開発基盤は、外部のLLM API・ベクターデータベース・トレース基盤など複数の外部サービスと密結合しています。
今回のように設定の改ざんで「正規の外部サービス」に情報を流す経路を作れば、検知が極めて難しくなります。
ログ収集対象を社内資産だけでなく、SaaS連携先の設定変更履歴まで広げる発想が求められる時代に入っています。
チップス外部のLLMトレースサービスまで監視するって、結構大変でしゅね…
ボスうむ、しかしAI時代のセキュリティは、自社の境界の外にも視野を広げる必要がある。
マルチテナント型LLM基盤は、ひとつの設計ミスが全顧客に波及します。
Dify利用者が押さえるべきポイントを整理します。
チップステナントUUIDも秘密扱いにしなきゃダメなんでしゅね。勉強になりました!
ボスうむ、設計時の「公開してよい識別子」と「内部のみで使う識別子」を分けて考える癖をつけよ。
詳しい情報はSecurity NEXTの報道とDify公式のセキュリティアドバイザリを参照してください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
