チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「Jupyter Serverってデータ分析でよく使うやつでしゅよね?オープンリダイレクトって何が怖いんでしゅか?」
「うちの研究部門でも使ってるかもでしゅが、本当に放置すると被害があるんでしゅか?」
チップスボス、JVNでJupyter Serverの脆弱性が公表されたんでしゅよね?オープンリダイレクトって、ただURLが飛ぶだけじゃないんでしゅか?
ボスふふふ、いい質問だな。「ただURLが飛ぶだけ」と思われがちだが、信頼ドメインから不正サイトに飛ばされる仕掛けは、フィッシングの成功率を大きく押し上げる。AI開発基盤の信頼性に関わる問題だ。
2026年5月28日、JPCERT/CCとIPAは、Jupyter Server 2.17.0以前に存在するオープンリダイレクト脆弱性CVE-2025-61669を、情報セキュリティ早期警戒パートナーシップに基づき公表しました。
本記事では、脆弱性の仕組みと、AI・データ分析の現場で取るべき対策を整理していきます。
Jupyter Serverは研究機関・企業のAI開発現場で標準的に使われており、踏み台化されれば組織のブランドごとフィッシングに加担させられる恐れがあります。
事件の概要、脆弱性の仕組み、そして利用組織が取るべき対策の順に深掘りしていきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
本件はサイバーディフェンス研究所の岩崎徳明氏が早期警戒パートナーシップを通じて報告した事案です。
対象はJupyter Server 2.17.0以前で、深刻度は中〜高に位置付けられています。
公表されている数値を以下に整理しました。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2025-61669 |
| 脆弱性種別 | オープンリダイレクト(CWE-601) |
| CVSS v3.0 / v4.0 | 7.4 / 6.3 |
| 対象バージョン | Jupyter Server 2.17.0以前 |
チップスnextパラメータって、ログイン後の戻り先を指定するやつでしゅよね?そこに不正なURLを差し込まれるってことでしゅか?
ボスその通り。検証が甘いとnext=https://攻撃者サイト みたいな指定で、信頼されたJupyterドメイン経由で外部に飛ばされる。組織の正規URLに見える分、利用者は警戒を解いてしまう。
オープンリダイレクトは単独では情報漏洩を直接起こさないものの、攻撃の起点として極めて有用です。
攻撃者は研究者の名簿や論文サイトを足掛かりに、組織のJupyter URLを偽装したリンクを配布します。
典型的に発生し得る被害は以下の通りです。
チップスということは、Jupyterそのものの中のデータは無事でも、利用者が騙されちゃうってことでしゅか…。
ボスそうだな。社内向け開発基盤は外部公開のWebサービスより無防備に運用されがちで、URL検査も後回しになりやすい。今回のような事案が出たタイミングで再点検するのが肝要だ。
JVNの公式アドバイザリと開発元のセキュリティ情報を踏まえ、優先度の高い順に整備するのがおすすめです。
具体的なアクションは以下の通りです。
オープンリダイレクトはCVSSが極端に高いわけではないため、優先度を後回しにされがちな脆弱性です。
しかし、AI・データ分析基盤は研究情報や顧客データに直結するため、信頼ドメインが踏み台になるダメージは想像以上に大きくなります。
ボス軽微に見える脆弱性ほど、フィッシングの起点に悪用される。AI開発基盤の脆弱性管理は、外部公開Webと同じ厳しさで臨むべきだ。
チップスうちの研究部門にも、すぐ確認してみるでしゅ。アップデートだけで防げるなら、やるしかないでしゅ!
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
