【セキュリティニュース】2026年5月7日号|cPanel認証バイパスCVE-2026-41940が悪用急増・SonicWall SonicOS 3件の脆弱性公表・マツダ病院626名の患者情報が約1年8か月閲覧可能だった

【セキュリティニュース】2026年5月7日号|cPanel認証バイパスCVE-2026-41940が悪用急増・SonicWall SonicOS 3件の脆弱性公表・マツダ病院626名の患者情報が約1年8か月閲覧可能だった

GW明け2日目。連休中から動いていた重要ニュースを3本まとめます。第一に、ホスティング管理ツール「cPanel & WHM」の認証バイパス脆弱性CVE-2026-41940(CVSS 9.8)に対する大規模な悪用が5月初旬から急増し、世界の約150万台が影響範囲とされています。第二に、SonicWallが4月29日にSonicOSの3件の脆弱性(CVE-2026-0204/0205/0206)を公表しました。第三に、マツダ病院が委託先のクラウド設定ミスで患者626名分の情報が約1年8か月間閲覧可能だったと公表しています。自社サーバー・ファイアウォール・委託先設定の3点を、今週中に必ず点検してください。
NEWS 01 cPanel社・watchTowr Labs・Help Net Security | 2026年4月28日緊急パッチ公開

cPanel & WHMの認証バイパス「CVE-2026-41940」、約150万サーバーが影響、5月初旬から大規模悪用が観測

レンタルサーバー管理ツールとして広く使われているcPanel & WHMに、認証なしでroot権限のセッションを獲得できるCRLFインジェクション型の認証バイパス脆弱性CVE-2026-41940(CVSS 9.8)が公表されました。cPanel社は2026年4月28日に緊急パッチを公開しています。watchTowr Labsの調査によれば、実際の悪用は2026年2月23日ごろから観測されており、パッチ提供までの約2か月間、ゼロデイとして悪用されていた状態でした。

脆弱性の本質は、cpsrvdが認証完了前にセッションファイルをディスクに書き出してしまう実装上の欠陥にあります。攻撃者はwhostmgrsessionクッキー内に細工した値を含めることで、想定された暗号化処理を回避してセッションファイルへ「user=root」などの属性を直接書き込みます。書き込み後にセッションをリロードさせれば、認証ログを残さないままroot権限の管理者として扱われます。Shodanベースの統計では、約150万台のインターネット公開cPanelインスタンスが対象です。

2026年5月初旬には、新たに悪意のあるホストとして観測されたサーバーの約8割がcPanel/WHMを稼働させており、Mirai亜種の展開と、Goベースで実装され「.sorry」拡張子を付けるLinux向けランサムウェアの両方の攻撃チェーンが確認されています。攻撃発信元として「95.111.250.175」が報告されており、フィリピン・ラオスの政府機関のほか、MSP・ホスティング事業者も標的に含まれます。

▌中小企業への影響

自社で借りているレンタルサーバーやVPS、または委託しているWeb制作会社・ホスティング会社が管理するcPanelインスタンスが対象になり得ます。サーバーが乗っ取られると、自社サイトの改ざん、メールサーバーの踏み台化、顧客データベースの窃取、ランサムウェアの設置、といった被害につながります。MSPやホスティング事業者を経由すると、複数の顧客企業に同時被害が広がる構造です。

▌推奨対応(今週中に着手)
  • 自社で利用中のcPanel & WHMが、修正版(11.86.0.41 / 11.110.0.97 / 11.118.0.63 / 11.126.0.54 / 11.130.0.19 / 11.132.0.29 / 11.134.0.20 / 11.136.0.5 のいずれか)に更新済みかをWHM画面のバージョン表示で確認する
  • レンタルサーバーやホスティングを契約している場合、提供元事業者に対して「CVE-2026-41940への対応状況」「適用日時」「侵害の有無の確認結果」を文書で確認する
  • パッチ未適用で即時対応できない環境では、ファイアウォールでポート2083・2087・2095・2096への外部からの接続を一時遮断し、cpsrvd/cpdavdを停止する
  • 2月下旬以降のWebサーバーアクセスログ・cPanelの管理ログ・SSHログを点検し、「user=root」などのセッションファイル書き込みや、深夜・海外IPからの管理画面アクセスがないか確認する
  • サイト改ざん・身に覚えのないファイル追加・「.sorry」拡張子のファイル出現がないか、ドキュメントルートを目視点検する
NEWS 02 SonicWall PSIRT(SNWLID-2026-0004) | 2026年4月29日公表

SonicWall SonicOSに3件の脆弱性、CVE-2026-0204はアクセス制御回避(CVSS 8.0)、Gen 6/7/8の全世代が対象

SonicWallは2026年4月29日、ファイアウォールOSであるSonicOSにおける3件の脆弱性を公開しました(アドバイザリ番号SNWLID-2026-0004)。中小企業・地方拠点のUTMとして国内でも導入が多い製品群で、世代を超えて影響が及びます。

3件の脆弱性は次の通りです。CVE-2026-0204(CVSS 8.0、High)はアクセス制御の不備で、認証要件が弱いまま管理インターフェースの一部機能にアクセスされる可能性があります。CVE-2026-0205(CVSS 6.8、Medium)は認証後のパストラバーサルで、認証済みユーザーが「../../etc/passwd」のようなペイロードを通じて本来読めないファイルへ到達できる問題です。CVE-2026-0206(CVSS 4.9、Medium)は認証後のスタックバッファオーバーフローで、SSL-VPNコンポーネントなどに細工されたパケットを送ることでファイアウォール自体をクラッシュさせ、サービス停止に追い込めます。

影響範囲はGen 6(バージョン6.5.5.1-6n以前)、Gen 7(バージョン7.0.1-5169 / 7.3.1-7013以前)、Gen 8、およびGen 7のNSv仮想ファイアウォールに及びます。SonicWallはファームウェア適用前の暫定対応として、HTTP/HTTPSによる管理アクセスを全インターフェースで停止すること、SSL-VPNを停止すること、SSHのみに管理アクセスを限定することを推奨しています。

▌中小企業への影響

本社オフィスや拠点のインターネット境界にSonicWallを設置している場合、管理画面や社員向けSSL-VPNが直撃されます。CVE-2026-0204単独でも管理機能の一部が外部から触れる恐れがあり、ここを起点として設定改ざんやVPN経由の社内侵入につながる構図です。リモートワークでSSL-VPNを使っている企業は、CVE-2026-0206の停止系の脆弱性によって業務全停止のリスクも抱えます。

▌推奨対応
  • SonicWall管理画面(System > Status)でファームウェアバージョンを確認し、SNWLID-2026-0004で示された修正バージョンへアップデートする
  • アップデートまでの間は、HTTP/HTTPS管理画面を全インターフェースで無効化し、運用はSSHに限定する
  • 外部公開しているSSL-VPNを一時停止できる環境では、パッチ適用までの暫定対応として停止を検討する
  • 管理者アカウントのパスワード変更・多要素認証の有効化・利用していない管理者アカウントの無効化を併せて実施する
  • SonicWallのログをSIEMや管理者向けメールに送信し、見慣れない管理画面アクセス・VPN接続元IP・ファームウェア書き換えイベントが発生した場合に検知できるようにする
NEWS 03 マツダ病院(広島県安芸郡府中町) | 2026年4月23日公表

マツダ病院、業務委託先のクラウド設定ミスで患者626名分の個人情報が約1年8か月間閲覧可能な状態に

マツダ病院(広島県安芸郡府中町)は2026年4月23日、CT・MRI・RI画像診断業務を委託している外部事業者がクラウドサービスのファイル共有設定を誤り、患者の個人情報が第三者から閲覧可能な状態になっていたと公表しました。対象は2021年2月から3月にかけて撮影を受けた患者626名で、設定誤りは2023年4月上旬から2024年12月中旬までの約1年8か月にわたって継続していたとされています。

閲覧可能だったのは患者ID、氏名(ローマ字またはカタカナ表記)、撮影日、撮影種別、部位、部位数で、病名・検査結果・撮影画像データそのもの・クレジットカード番号は含まれていません。委託先が問題を把握したのは2024年11月下旬、設定の是正完了は2024年12月中旬ですが、マツダ病院本体への報告は2026年2月16日まで行われず、発覚から報告までの間に約1年2か月のタイムラグが生じています。現時点で二次的被害は確認されておらず、対象患者への個別通知は完了済みとされています。

本件は、委託先のクラウドサービス共有設定を誰が・どの頻度で・どこまで点検するかという「設定の運用」が委託元・委託先のいずれにも明示されていない場合の典型的なリスクを示しています。攻撃者が侵入しなくても、設定変更の操作ミスだけで一定期間、外部からアクセス可能な状態が続く構造です。

▌中小企業への影響

外部事業者にデータ管理や画像処理を委託している中小企業は同様の構造を抱えています。クラウドストレージやファイル共有サービスの公開設定は、実装時のミス・運用中の変更ミスで容易にパブリックになります。さらに、委託先が問題を発見しても委託元への報告が遅れた場合、委託元は本来必要な個人情報保護委員会への報告期限を守れず、当事者通知の遅延も生じます。

▌推奨対応
  • 外部委託している業務(クラウドストレージ・画像処理・データ入力等)と保有情報を一覧化し、現在の公開設定を委託先に文書で確認する
  • 委託契約書に、インシデント・設定不備の発見時に「いつまでに」「誰へ」「何を」報告するかを明記する。これがない場合、覚書で追加する
  • クラウド共有設定の点検(公開・社内のみ・特定ユーザーのみ)を四半期ごとに実施するルールを委託先と合意する
  • 個人情報保護法上の「委託先の監督」として、年次のセキュリティ体制チェックリスト回答を委託先から取得する
  • 委託元として、個人データを格納するクラウドサービスを限定列挙し、無断追加を禁止する条項を契約に入れる

5月7日〜10日に着手すべき確認項目

連休明け2日目の今日から週末までに、中小企業の情報システム担当者がカバーすべき項目を整理しました。1項目あたり半日〜1日で実行可能です。

優先度項目確認内容
最優先 cPanel & WHMのバージョン確認 自社・委託先のcPanelが修正バージョンに更新済みかを確認し、未適用なら管理ポート(2083等)を一時遮断する
最優先 SonicWall SonicOSの更新 SNWLID-2026-0004の修正ファームへ更新する。当面はHTTP/HTTPS管理画面を停止しSSHに限定する
サーバー・FWログの逆算点検 2026年2月下旬以降のWebサーバー・cPanel管理ログ・FW管理ログを点検し、不審なセッション作成・管理画面アクセスがないか確認する
クラウド共有設定の点検 Google Drive・OneDrive・Box・Dropbox・S3等の社内クラウド共有設定で、社外公開になっているフォルダ・バケットがないか棚卸しする
委託先への文書確認 主要な業務委託先・ホスティング事業者・SaaS事業者に対し、本記事の脆弱性・インシデントへの対応状況を文書で問い合わせる

編集部まとめ

今号の3本に共通するキーワードは「自社の外側で起きる事故が自社を直撃する」です。cPanelの脆弱性は委託しているホスティング会社のサーバーで、SonicWallの脆弱性は中小企業の境界UTMで、マツダ病院の漏えいは委託先の画像診断クラウドで発生しました。いずれも「自社で動かしているシステム」だけを点検していても気づけません。

連休明けの今週、まずは(1)レンタルサーバー・cPanelの提供元への文書確認、(2)SonicWall等UTMのファームウェア更新、(3)外部委託先のクラウド共有設定の確認、の3点を進めてください。点検対象は社内サーバーよりも、契約先・委託先・クラウドサービスのほうが優先順位が高い時代になっています。

参考情報

  • watchTowr Labs「The Internet Is Falling Down, Falling Down, Falling Down (cPanel & WHM Authentication Bypass CVE-2026-41940)」
  • Help Net Security「Multiple threat actors actively exploit cPanel vulnerability (CVE-2026-41940)」(2026年5月4日)
  • The Hacker News「Critical cPanel Vulnerability Weaponized to Target Government and MSP Networks」(2026年5月)
  • NVD「CVE-2026-41940 Detail」
  • SonicWall PSIRT「SonicOS multiple vulnerabilities (SNWLID-2026-0004)」(2026年4月29日)
  • SecurityWeek「SonicWall Urges Immediate Patching of Firewall Vulnerabilities」
  • SecurityAffairs「SonicWall patches three SonicOS flaws in Gen 6, 7 and 8 firewalls」
  • マツダ病院「個人情報漏えいのおそれに関するお知らせとお詫び」(2026年4月23日)
  • セキュリティ対策Lab「マツダ病院、業務委託先のクラウド設定ミスで626名分の患者情報が約1年8か月間閲覧可能な状態に」

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

MENU