トップ/記事一覧/ノーコードアプリ作成『Adalo』で利用者情報が他人に抜かれる脆弱性 CVE-2026-10706、100万アプリ対象・修正版なく保存に注意
adalo-cve-cover-ja

ノーコードアプリ作成『Adalo』で利用者情報が他人に抜かれる脆弱性 CVE-2026-10706、100万アプリ対象・修正版なく保存に注意

ノーコードでアプリを作れる人気ツール『Adalo』で、認証済み利用者が他人のアプリの登録者情報(メールアドレス等)を丸ごと抜き取れる欠陥CVE-2026-10706が公開されました。100万以上のアプリが対象で、基盤側の問題のため利用者は自力で防げません。修正版が出るまで機密情報の保存を控える必要があります。対象・仕組み・今すぐできる対策を解説します。

ニュース2026年7月10日公開 本日更新
目次
この記事のポイント

ノーコードでアプリを作れる人気ツール『Adalo』で、認証済み利用者が他人のアプリの登録者情報(メールアドレス等)を丸ごと抜き取れる欠陥CVE-2026-10706が公開されました。100万以上のアプリが対象で、基盤側の問題のため利用者は自力で防げません。修正版が出るまで機密情報の保存を控える必要があります。対象・仕組み・今すぐできる対策を解説します。

プログラミングなしでスマホアプリやWebアプリを作れる人気ツール「Adalo(アダロ)」に、作ったアプリの登録者情報が、まったく無関係な他人によって丸ごと抜き取られる欠陥が見つかりました。米カーネギーメロン大学の調整機関CERT/CCが2026年7月8日に公表し(VU#849433)、翌9日には日本のJPCERT/CC・IPAが運営する脆弱性情報サイトJVNでもJVNVU#99220646として国内向けに告知されました。

問題は2つの識別番号(CVE-2026-10706CVE-2026-10708)に整理されています。深刻なのは、これがAdaloの土台そのものにある不備で、Adaloで作られた100万以上のアプリすべてが対象という点です。しかも本記事の公開時点で修正版がまだ提供されていません。アプリを作った本人も、そのアプリを使っている利用者も、自分の操作では防げない状態が続いています。

そもそもAdaloとは何か

Adaloは、コードを書かずに画面をドラッグ&ドロップで並べるだけでアプリを作れる「ノーコード」と呼ばれるサービスです。ノーコードとは、プログラミングの知識がない人でも、部品を組み合わせる感覚でアプリやWebサービスを作れる仕組みのことです。個人商店の予約アプリ、社内の在庫管理ツール、コミュニティ向けの会員アプリなど、エンジニアを雇わずにサービスを立ち上げたい人たちに広く使われています。

Adaloの便利さは、アプリの「見た目」だけでなく、会員登録した人のメールアドレスや名前などを保存する「データベース」までまとめて用意してくれる点にあります。つまりアプリを作った人は、利用者の個人情報をAdaloのサーバーに預けていることになります。今回問題になったのは、まさにこの預けたデータを出し入れする裏側の窓口(データベースAPI)でした。

同じくコードをあまり書かずに業務ツールを作る基盤では、以前にもローコード開発基盤Appsmithで通信の出入り口を乗っ取られる脆弱性が報告されています。手軽さと引き換えに、土台の安全性を利用者が自分で確かめにくいという弱点は、この種のサービスに共通する課題です。

何が漏れるのか、どれくらいの規模なのか

CERT/CCの説明によると、抜き取られる恐れがあるのは、Adaloで作られたアプリに登録した利用者のメールアドレス、内部の管理番号(UUID)、そしてアプリごとに設定された任意の入力項目です。任意の入力項目には、電話番号や住所、生年月日など、そのアプリが会員に入力させているあらゆる情報が含まれ得ます。

規模の大きさが今回の特徴です。Adaloの旧バージョン(V1)と新バージョン(V2)の両方が影響を受け、これまでに作られた100万を超えるアプリが対象とされています。一つのアプリの設定ミスではなく、Adaloという土台の設計に起因するため、アプリを作った人がどんなに丁寧に設定していても、この問題だけは自分では手当てできません。CERT/CCも「開発者とその利用者は、自分では防ぐことも直すこともできないデータ漏えいのリスクにさらされている」と踏み込んで表現しています。

さらに事態を悪くしている要素として、CERT/CCは保存されている文字データが暗号化されずそのまま置かれていること、そしていったん削除したはずの記録にも引き続きアクセスできる痕跡があることを挙げています。過去に退会したユーザーの情報まで残っている可能性があるということです。

誰がこの穴を狙い、何が起きるのか

この脆弱性で真っ先に危険にさらされるのは、Adaloで作られたアプリに会員登録している、ごく普通の利用者です。狙うのは、集めたメールアドレスや個人情報を売り買いする名簿業者や、なりすまし・詐欺を仕掛けるグループだと考えられます。彼らにとって、まとまった本物の連絡先リストは換金しやすい商品だからです。

攻撃の入り口は驚くほど簡単です。攻撃者はどこかのAdaloアプリに自分で無害な会員登録を1つするだけで、そこを足がかりに、まったく別の他人が運営するアプリの登録者情報をまとめて吸い出せるとされています。アプリごとの合言葉や特別な権限は必要ありません。

結果として、アプリを使っていた利用者は、身に覚えのないフィッシングメールやなりすましの標的になりかねません。一方、アプリを運営していた個人や事業者は、預かっていた顧客の個人情報が流出したことになり、信用の失墜や問い合わせ対応、場合によっては個人情報保護法上の説明責任を負うことになります。企業や自治体が委託先のシステムから顧客情報を抜かれる事故は、開発基盤の欠陥を突かれる事例として繰り返し起きており、今回はその「基盤」がノーコードサービスだったという構図です。

技術的に見ると何が起きているのか

今回のトラブルは、性質の異なる2つの不備が重なって成立しています。それぞれ別の識別番号が割り当てられています。

CVE-2026-10706:頼んでいない情報まで全部返してしまう

Adaloのアプリには、ユーザーの一覧やランキング(リーダーボード)を表示する部品があります。本来この部品は「表示に必要な項目だけ」をサーバーに問い合わせるべきです。ところが実際のデータベースAPIは、画面にどの項目を出す設定にしていても、そのユーザーの全項目を丸ごと返していました。表向きはニックネームしか表示していなくても、裏ではメールアドレスなどが一緒に送られてきていた、ということです。これは「取りすぎ(オーバーフェッチング)」と呼ばれる典型的な設計ミスです。

より深刻なのは、そこに「このデータを見てよい人か」を確かめる持ち主チェックが無かったことです。Adaloの各アプリは本来それぞれ独立していますが、データベースやテーブルには連番のような内部識別子(dbId)が振られています。認証済みの利用者であれば、この番号を1つずつ変えて問い合わせるだけで、自分とは無関係な別アプリのデータまで取り出せてしまいました。米国立標準技術研究所(NIST)はこの問題を、権限のない相手に情報が露出する分類(CWE-200)として整理しています。

CVE-2026-10708:20日間も使い回せる通行証が漏れる

2つ目は、ログイン状態を証明する電子的な通行証(JWTトークン)にまつわる不備です。このトークンはブラウザの通信を見るだけで取り出せる場所に置かれており、しかも約20日間も有効なまま使い回せました。さらにトークンを途中で無効化する仕組みも用意されていませんでした。

これに、どのサイトからの問い合わせでも受け付けてしまう緩い設定(ワイルドカードCORS)が組み合わさります。CORSとは、あるサイトのデータを別のサイトから読み取ってよいかを決めるブラウザの安全装置ですが、Adaloはこれを実質「誰でも可」にしていました。結果として攻撃者は、一度手に入れたトークンを外部の全く別のサイトやスクリプトに貼り付け、Adaloのアプリ画面を一切開かずに、裏口から大量の利用者データを自動で吸い出せる状態になっていました。CERT/CCによれば、最小構成のランキング部品への問い合わせ1回だけで、メールアドレス・UUID・カスタム項目を含む記録が返ってきたとされています。

この2つが合わさることで、「無関係な他人のアプリのデータを」「アプリを開かずに」「大量かつ自動で」抜き取る、という最悪の組み合わせが成立してしまったわけです。

これまでの経緯

← スワイプで移動

研究者のSaud Darwish氏が2026年4月にCERT/CC経由でAdaloへ報告し、約3か月の調整期間を経て7月8日に公開された流れです。脆弱性情報を集約するデータベースにも登録され、日本でも翌日にJVNが取り上げました。

確認できていること、まだ分からないこと

✓ 確認済みの事実

  • Adaloの新旧両バージョン(V1・V2)が影響を受け、100万以上のアプリが対象(CERT/CC
  • Adaloは問題を認識しているが、公開時点で修正版は未提供(CERT/CC
  • メールアドレス・内部管理番号・カスタム項目が抜き取られ得る(CVE-2026-10708

? まだ確認されていないこと

  • ?この脆弱性が実際に悪用され、被害が出たという公式な報告は今のところ確認されていない
  • ?米政府CISAが公開する「実際に攻撃が確認された脆弱性リスト(KEV)」には、公開時点で登録されていない
  • ?Adaloからの修正版の提供時期は明らかにされていない

今できる対策

この問題はAdaloの土台に原因があるため、根本的な解決はAdalo側の修正を待つしかありません。そのうえで、立場ごとに今できることがあります。

Adaloでアプリを作って運営している人は、CERT/CCの助言どおり、クレジットカード情報や住所、健康情報のような機密性の高いデータをAdaloのデータベースに保存しないことが当面の防御になります。すでに預けているデータについては「漏れている前提」で扱い、必要ならAdalo外の安全な保管先へ移す判断も検討します。利用者への告知が必要かどうかも、預かっている情報の性質に応じて考えておくべきです。

Adalo製のアプリを使っている一般利用者にできることは限られますが、そのアプリに登録したメールアドレス宛に不審なメールが届いていないか注意し、心当たりのないリンクは開かないようにしてください。同じパスワードを他のサービスで使い回している場合は、この機会に変えておくと安心です。

開発ツールや外部サービスに預けたデータが土台の欠陥で漏れる事故は後を絶ちません。自分が使っているサービスにどんな情報を預けているかを一度棚卸ししておくことは、開発支援ツールの乗っ取り脆弱性のような別のケースでも役立ちます。

立場今できること自力で直せるか
アプリ運営者機密データの保存を停止
既存データは漏洩前提で扱う
×(土台の問題)
アプリ利用者不審メールに注意
パスワード使い回しをやめる
△(自衛のみ)
Adalo社認可チェックの追加
トークン・CORS設定の見直し
○(修正待ち)

よくある質問

Q. 自分が使っているアプリがAdalo製かどうか、どう見分ければいいですか。

A. 利用者側から確実に見分ける簡単な方法はありません。個人や小規模事業者が短期間で立ち上げたアプリや会員サイトで使われていることが多いため、そうしたサービスから登録メールに不審な連絡が来ていないか注意するのが現実的です。運営者に直接問い合わせるのも一つの方法です。

Q. パスワードは漏れるのですか。

A. CERT/CCが漏えいの対象として挙げているのはメールアドレス・内部管理番号・アプリごとのカスタム項目です。パスワードそのものが直接列挙されるとは明示されていませんが、メールアドレスが漏れれば、他サービスでの使い回しを突かれる二次被害につながります。使い回しは避けるのが安全です。

Q. すでに悪用されているのですか。

A. 公開時点で、実際に悪用され被害が出たという公式な報告は確認されていません。米政府CISAの攻撃確認リスト(KEV)にも登録されていません。ただし手口自体は単純で、土台に穴が残っている以上、今後悪用される可能性は否定できません。

Q. 修正版はいつ出ますか。

A. 本記事公開の時点で、Adaloから修正版の提供時期は公表されていません。Adaloは問題を認識しており対応中とされていますが、それまでは機密情報を預けないことが最善の防御です。最新情報はCERT/CCの注意喚起で確認できます。

まとめ

今回の件は、特定の会社が攻撃されたという話ではなく、100万以上のアプリを支える土台そのものに穴が空いていたという話です。ノーコードやローコードのサービスは、専門知識がなくてもアプリを作れる便利さの裏で、安全性の担保をサービス提供者に全面的に委ねることになります。その委ねた先で問題が起きると、アプリを作った人も使う人も、自分では手を打てません。

当面はAdaloに機密情報を預けないこと、そして自分が普段どのサービスにどんな個人情報を預けているかを見直すことが、現実的な備えになります。修正版が提供され次第、続報をお伝えします。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go