障害対応の呼び出しを管理する『Grafana OnCall』にログイン不要で丸ごと乗っ取りの脆弱性、修正版は出ず CVE-2026-63087 使用中止と移行を
システム障害の呼び出しを管理するツール『Grafana OnCall』のオープンソース版に、ログインなしでシステムを丸ごと乗っ取られる危険度9.8の脆弱性CVE-2026-63087が見つかりました。このオープンソース版はすでに開発終了で修正版は出ません。対象は全バージョン。当面は管理用ポートを遮断し、後継サービスへの移行が必要です。
目次
システム障害の呼び出しを管理するツール『Grafana OnCall』のオープンソース版に、ログインなしでシステムを丸ごと乗っ取られる危険度9.8の脆弱性CVE-2026-63087が見つかりました。このオープンソース版はすでに開発終了で修正版は出ません。対象は全バージョン。当面は管理用ポートを遮断し、後継サービスへの移行が必要です。
システム障害が起きたときに担当者を電話やSMS、アプリの通知で呼び出す「オンコール(当番)管理」ツール、『Grafana OnCall』のオープンソース版に、ログイン不要でシステムを丸ごと乗っ取られる脆弱性(CVE-2026-63087)が見つかりました。危険度はCVSS(10段階)で9.8の「緊急(Critical)」です。開発元は監視ツール大手のGrafana Labsです。
やっかいなのは、この脆弱性に修正版が用意されないという点です。Grafana OnCallのオープンソース版はすでに開発を終えており、今後パッチが出ることはありません。つまり「更新して直す」という通常の対処ができず、対象となる全バージョンが穴を抱えたまま残ります。
攻撃を受けると、ログインなしで管理者相当の権限を奪われ、利用者の追加や、監視システムとの連携先を攻撃者のサーバーに差し替えられる恐れがあります。実際に攻撃された報告は今のところありませんが、悪用のための実証コードはすでに公開されています。何が起きるのか、なぜ修正版が出ないのか、当面どう守ればよいのかを順に説明します。監視・運用まわりのツールでは、AIにGrafanaを操作させる連携ツールで認証情報が盗まれる脆弱性なども相次いでおり、土台に近い部分ほど影響が広がりやすい傾向があります。
何が起きるのか
ひとことで言うと、本来ログインが必要なはずの内部用の窓口(プラグイン導入用の受け口)が、認証をかけずに開いていました。攻撃者はここに1回リクエストを送るだけで、管理者相当の正規の鍵(トークン)を発行させられます。あとはその鍵を使って、管理者アカウントの作成から連携先の差し替えまで、思いのままに操作できてしまいます。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-63087 |
| 対象 | Grafana OnCall(オープンソース版) 1.16.11 以前の全バージョン |
| 危険度 | CVSS 9.8(緊急) ※新基準のv4.0では9.3 |
| 脆弱性の種類 | 重要機能の認証欠如 (無認証で管理者相当の鍵を発行) |
| 悪用の前提 | 管理用のポートに ネットワークで到達できること |
| 実際の攻撃 | 現時点で報告なし (実証コードは公開済み) |
| 対策 | 修正版なし。当面は遮断し、 後継サービスへ移行 |
Grafana OnCallは、障害の通知を受け取ってオンコール担当を呼び出す運用ツールで、PagerDutyのような役割を自前のサーバーで担わせるために使われてきました。今回問題になっているのは、そのオープンソース版を自社サーバーに立てて動かしている環境です。クラウド版(Grafana Cloud)を使っている場合は、この記事の対象ではありません。
誰が、何のために狙うのか
この穴を突けるのは、Grafana OnCallの管理用ポートにネットワークからたどり着ける攻撃者です。ログインは一切必要ありません。インターネットに直接さらされているサーバーはもちろん、社内ネットワークに侵入した攻撃者が内側から狙うことも考えられます。必要な値は公開されているプログラムの中にそのまま書かれているため、特別な情報を事前に握っている必要もありません。
その攻撃者が行うのは、認証なしで管理者相当の鍵を発行させ、勝手に管理者アカウントを作り、監視システムとの連携先を自分のサーバーへ差し替えることです。連携先を握られると、正規の通知やデータの流れに割り込んだり、運用チームが使うはずの鍵を無効化して締め出したりできます。障害対応の司令塔を乗っ取られる形になり、組織全体の運用に手を突っ込まれます。公開されたソースに書かれた初期設定値をそのまま踏み台にする手口は、Argo CDで初期設定の穴からKubernetes全体を乗っ取れた事例とよく似ています。
被害は運用担当者だけの問題では終わりません。オンコール管理ツールは、そのサービスがいつ・どこで・誰に障害を知らせるかを握っています。ここを乗っ取られれば、本物の障害通知を止めて攻撃に気づかせない、といった二次被害にもつながります。ログインなしで管理者権限を奪える構図そのものは、JetBrains Hubで起きた認証回避の脆弱性とも同系統で、認証の入口が抜けているタイプの欠陥は影響が一気に広がります。
技術的に見ると
発見者の技術解説によると、問題があるのは内部用のプラグイン導入エンドポイント /api/internal/v1/plugin/v2/install/ です。このエンドポイントは認証と権限のチェックを明示的に無効化しており、「セルフホストのオープンソース版である」ことだけを確認したうえで処理を通していました。
ここで本来なら秘密の情報が必要なはずが、代わりに使われていたのが、公開されているソースコードにそのまま書かれた固定値でした。具体的には識別用の番号(stack_id=5、org_id=100)が既定値として埋め込まれており、攻撃者はこれを送るだけで有効な管理者相当のトークンを受け取れます。あとはそのトークンで管理者ユーザーを作り、連携先の設定(監視システムのURLやAPIの鍵)を攻撃者のものへ書き換え、正規のトークンを失効させて居座る、という流れです。分類上は重要機能の認証欠如(CWE-306)にあたります。
危険度ベクトルを見ると、ネットワーク経由・認証不要・利用者操作不要で悪用でき、機密性・完全性・可用性のすべてに影響が及ぶとされています(CVSS v3.1で9.8、新基準のv4.0では9.3)。攻撃に必要な材料がすべて公開情報でそろう点が、深刻度を押し上げています。脆弱性を管理するVulnCheckと、報告者のGeorge Chen氏が調整して公開しました。
なぜ修正版が出ないのか
この脆弱性が特に厄介なのは、直すためのパッチが提供されないことです。Grafana OnCallのオープンソース版は、すでに開発を終えて「アーカイブ(凍結)」された状態にあります。Grafana Labsは公式ブログで段階的な終了を告知しており、今後この版に修正が入ることはありません。
| 時期 | 出来事 |
|---|---|
| 2025年3月11日 | メンテナンスモードに移行 (重大な脆弱性のみ修正の方針に) |
| 2026年3月24日 | 開発終了・アーカイブ (以降は一切の修正なし) |
| 2026年6月5日 | プログラム置き場が 読み取り専用に |
| 2026年7月16日 | 本脆弱性 CVE-2026-63087 が 公開される |
Grafana Labsは後継として、同じ用途をクラウドで提供する「Grafana Cloud IRM」への移行を公式に案内しています。オープンソース版のライセンス上、自分たちで手を入れて使い続けること自体は可能ですが、その場合の保守は自己責任になります。修正版が出ないまま危険だけが残る状況は、修正されないまま乗っ取りの穴が残った激安防犯カメラと同じ構図で、使い続ける側が自衛するしかありません。なお現時点では、米政府CISAが公開する「実際に攻撃されている脆弱性」の一覧(KEV)には登録されていません。
いま何をすればいいのか
まず、自社でGrafana OnCallのオープンソース版を動かしているかを確認してください。使っていれば、修正版で直すという選択肢はないため、対応は「危険なポートを閉じる」か「別のサービスへ移る」の二択になります。最優先は、管理用のポート(既定は8080番)がインターネットや広い社内ネットワークに露出していないかの確認です。露出していれば、無認証・1回のリクエストで乗っ取られ得るため、まず速やかに遮断してください。
当面の守り方として、発見者は次の応急策を挙げています。管理用ポートへのアクセスを、正規に連携するGrafana本体のホストだけに制限する(ファイアウォールやネットワークの通信制御を使う)こと。あるいは、手前に認証用のプロキシを置き、正規の経路以外からの /api/internal/v1/plugin/v2/install/ へのアクセスを弾くことです。ただしこれらはあくまで時間稼ぎで、根本的な解決にはなりません。恒久策は、Grafana Cloud IRMのようなサポートの続く後継へ移行するか、保守を引き受けられる形に作り替えることです。
あわせて、侵害されていないかの点検もしておくと安心です。身に覚えのない管理者アカウントが作られていないか、連携先のURLやAPIの鍵が勝手に書き換えられていないか、想定外のトークンが発行されていないかを確認してください。より広い視点では、こうした「開発が止まったオープンソースを自前で動かし続けているリスク」を洗い出すことが再発防止につながります。自分たちが使っている部品の出所と保守状況を把握するOSSの依存チェックの考え方も、こうした棚卸しに役立ちます。
まとめ
CVE-2026-63087は、Grafana OnCallのオープンソース版で、認証が抜けた内部エンドポイントと、ソースに書かれた固定値を突いて、無認証で管理者相当の鍵を奪える脆弱性です。危険度はCVSS 9.8と高く、そこから管理者アカウントの作成や連携先の差し替えまで一気に進めるため、成立すれば運用基盤の乗っ取りに直結します。
最大のポイントは、この版がすでに開発終了で修正版が出ないことです。通常の「更新して直す」が通用しないため、対象環境を使っているなら、まず管理用ポートの露出を断ち、サポートの続く後継への移行を計画してください。実際の攻撃はまだ確認されていませんが、実証コードは公開済みで、対象は全バージョンに及びます。動いていることを忘れられがちな運用ツールこそ、この機会に棚卸しをしておくのが賢明です。新しい情報や攻撃が確認され次第、この記事に追記します。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go