チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「AIプロキシのLiteLLMに脆弱性が出たって、自社のAPIキーは大丈夫?」
「公開からたった36時間で攻撃が始まったって本当か?」
チップスボス、LiteLLMっていうAIプロキシでSQLインジェクション脆弱性が出たって聞いたでしゅ。CVSSが9.3で、しかも公開直後に攻撃されたとか……
ボスそうだ。LLMプロバイダのAPIキーが集まる位置にあるソフトだから、攻撃者の標的としてうってつけだ。情報窃取の被害が即金銭損失につながりやすい。
LLM活用の中核に置かれるプロキシソフト「LiteLLM」に、未認証で攻撃可能なSQLインジェクション脆弱性が公開されました。
本記事では、CVE-2026-42208の仕組み、悪用までの早さ、そして導入企業が取るべき緊急対応の手順をまとめてお届けします。
OpenAI・Anthropic・Bedrock等のAPIキーをLiteLLMで一元管理している組織には、取り急ぎの対応が必要な内容です。
最後まで読めば、なにを優先すべきかがすぐに把握できます。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
脆弱性の発生経緯と、攻撃者の動きを順に整理します。
本脆弱性は、プロキシAPIキー検証時のデータベースクエリでパラメータ化が行われず、呼び出し元の入力値がクエリ本体に混入することに起因します。
そのため、未認証の攻撃者が細工したAuthorizationヘッダを送るだけで、バックエンドDBへのSQL注入が成立します。
BerriAI/LiteLLMのバージョン1.81.16から1.83.6が対象で、修正版1.83.7-stableは2026年4月19日に公開されています。
GitHubアドバイザリの公開から26時間後の2026年4月26日16:17(UTC)に、初回の悪用が観測されました。
攻撃者は認証情報や設定が格納されたテーブルを集中的に探索しており、ユーザーやチームのテーブルには手を出していません。
ターゲットを絞った動きから、システム構造を熟知した者の関与が示唆されます。
チップス26時間で攻撃が始まるなんて、パッチを当てる前に侵入されていてもおかしくないんでしゅ……
ボスそうだ。「公開直後に対応する前提」で運用を組まないと間に合わない時代だな。
緊急対応とAPIキーの保護を中心に、優先順位を整理します。
第一優先は1.83.7-stableへのアップデートで、LiteLLMをコンテナ運用している場合はイメージタグの再ビルドも忘れず行ってください。
すでに対象バージョンを公開ネットワークで稼働させていた場合、APIキーの流出を前提として全プロバイダのキー再発行とログ精査が必要です。
パッチ適用が即時に難しい環境では、設定でdisable_error_logs: trueを有効化し、脆弱なクエリ経路を遮断する暫定策があります。
disable_error_logs: trueを有効化侵害有無の判断材料としては、認証情報テーブルや設定テーブルへの不審なアクセスログが重要です。
具体的には、Authorizationヘッダに不自然な記号が含まれるリクエストや、想定外のSELECT文がDBログに残っていないかを確認します。
あわせて、LLMプロバイダ側の利用課金にも異常な伸びがないか必ず突き合わせましょう。
| 確認項目 | 具体的な観点 |
|---|---|
| HTTPアクセスログ | Authorizationヘッダの不審な記号 |
| DBクエリログ | 認証情報テーブルへの想定外アクセス |
| LLMプロバイダ請求 | 異常な使用量の急増 |
LiteLLMのCVE-2026-42208は、LLM活用が進む組織にとって認証情報を直接狙われる典型的な事例です。
パラメータ化クエリの基本が崩れると、AIプロキシのような中継ソフトでも従来型のSQLiが致命傷になることを思い出させます。
修正適用と同時にAPIキーの再発行までやり切るのが、安全側に倒した運用です。
引用元:The Hacker News – LiteLLM CVE-2026-42208 SQL Injection
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
