Joomlaの人気拡張『Balbooa Forms』『iCagenda』が実際に攻撃されている、ログイン不要でサイト乗っ取り、今すぐ更新を
ホームページ作成システムJoomlaの人気拡張『Balbooa Forms』『iCagenda』に、ログイン不要でサイトを乗っ取れる深刻な脆弱性(CVE-2026-56291・CVE-2026-48939、危険度9.8)が見つかりました。すでに実際の攻撃が確認され、米政府CISAの攻撃確認リストにも登録済み。使っている場合は今すぐ最新版へ更新し、乗っ取りの有無を点検してください。
目次
ホームページ作成システムJoomlaの人気拡張『Balbooa Forms』『iCagenda』に、ログイン不要でサイトを乗っ取れる深刻な脆弱性(CVE-2026-56291・CVE-2026-48939、危険度9.8)が見つかりました。すでに実際の攻撃が確認され、米政府CISAの攻撃確認リストにも登録済み。使っている場合は今すぐ最新版へ更新し、乗っ取りの有無を点検してください。
ホームページ作成システム「Joomla(ジュームラ)」向けの人気の拡張機能2種、フォーム作成の「Balbooa Forms」とイベントカレンダーの「iCagenda」に、ログインしていない第三者が悪意あるファイルを送り込み、サーバーごとサイトを乗っ取れる深刻な欠陥が見つかりました。識別番号はそれぞれCVE-2026-56291とCVE-2026-48939で、危険度はどちらも10点満点中9.8と最上位クラスです。
とくに重要なのは、この2件がすでに実際の攻撃に使われている点です。米政府のサイバー攻撃対策機関CISAは、実際に悪用が確認された脆弱性をまとめた「攻撃確認リスト(KEV)」に両方を登録しました。修正版はすでに公開されています。Joomlaでサイトを運営していて、これらのいずれかを使っている場合は、今すぐ最新版へ更新してください。すでに乗っ取られていないかの点検も必要です。
Balbooa FormsとiCagendaとは何か
Joomlaは、WordPressと並んで世界で広く使われているホームページ作成システム(CMS)です。拡張機能(プラグイン)とは、Joomlaに後から機能を足す部品のことです。今回問題になった2つは、いずれもJoomlaサイトに人気の拡張機能です。Balbooa Formsは、問い合わせや申込のフォームをドラッグ&ドロップで作れるフォーム作成ツール。iCagendaは、イベントや予定を掲載・受付できるイベントカレンダーの拡張機能で、来訪者が自分でイベントを投稿できる機能を備えています。
どちらも共通して、利用者や来訪者がファイルを添付・投稿できる機能を持っています。フォームの添付やイベント投稿のように「外部からファイルを受け取る窓口」は、受け取る側の確認が甘いと、プログラムファイルを送り込まれてサーバーを乗っ取る入口になり得ます。同じJoomlaのページづくりツールでのRCE(遠隔からのコード実行)は、SP Page Builderなどページ作成ツール2種の脆弱性でも報告されたばかりで、WordPress側でもフォーム作成プラグインSuper Formsの乗っ取りの脆弱性など、同じ構図が繰り返し起きています。
何が危険なのか、どこまで被害が広がるのか
2件はどちらも、専門用語では「任意ファイルアップロード」と呼ばれる不備です。本来これらの機能は、画像やPDFなど決められた種類のファイルだけを受け取るべきですが、ファイルの種類を確かめずに受け取ってしまう状態になっていました。その結果、攻撃者はサーバー上で命令を実行できるプログラムファイル(PHPファイル)を送り込み、そのまま実行させられます。米国立標準技術研究所(NIST)はこれを、危険な種類のファイルを無制限にアップロードできる分類(CWE-434)として整理しています。
送り込まれたプログラムがサーバー上で実行されると、攻撃者はサイトの管理権限を奪い、ページの改ざん、会員情報や問い合わせデータの持ち出し、サーバーを踏み台にした別サイトへの攻撃まで、事実上何でもできるようになります。悪用にログインは不要で、公開されたフォームやイベント投稿ページに細工した通信を送るだけです。危険度9.8という数字は、この「特別な権限も利用者の操作もなくサーバーを奪える」点を反映しています。
そして最も重いのは、これらがすでに実際に攻撃されていることです。iCagendaの欠陥は、修正版が出る前から悪用されていた「ゼロデイ(修正前の攻撃)」で、「icagenda-batch/1.0」を名乗る自動プログラムが、無防備なサイトを探し回って攻撃していたことが報告されています。Balbooa Formsも同様に、修正版が出る前から悪用が確認されていました。悪用が確認された脆弱性は、Oracle EBSの乗っ取りの脆弱性やSharePoint Serverの脆弱性のように、CISAが緊急で警告する対象になります。
誰がこの穴を狙い、何が起きるのか
この脆弱性を突くのは、サイトを改ざんして偽ページやスパム送信の踏み台にする攻撃者や、サーバーを乗っ取って身代金を要求するランサムウェア集団です。ログインすら不要で仕掛けられるため、彼らは脆弱なJoomlaサイトを自動で探し回り、見つけ次第まとめて攻撃します。実際、iCagendaでは「icagenda-batch/1.0」という名前の自動スキャナーが、無差別にサイトを巡回してPHPファイルを送り込む攻撃が観測されており、この手口が現在進行形で動いていることが分かります。
攻撃の流れは驚くほど簡単です。攻撃者は、公開されているフォームやイベント投稿の窓口へ、画像などに見せかけたプログラムファイルを送り込み、それをサーバー上で実行してサイトの支配権を奪います。必要なのはわずかな通信だけで、被害者側のクリックや操作は一切要りません。制作を外注したまま更新が止まっているサイトほど、格好の的になります。
結果として、サイトを運営する個人や事業者は、公開ページを改ざんされたり、フォームやイベントで集めた個人情報を丸ごと抜かれたりします。乗っ取られたサイトは、知らないうちにフィッシングやマルウェア配布の拠点にされ、閲覧者にも被害が及びかねません。ひとたび制御を奪われると復旧には時間も費用もかかり、サイトの信用そのものが傷つきます。
技術的に見ると何が起きているのか
相次いで報告された2件には、それぞれ識別番号が割り当てられています。
CVE-2026-56291:Balbooa Forms、無認証のファイルアップロードでサイト乗っ取り(危険度9.8)
Balbooa Forms(内部名称com_baforms)のフォーム送信処理には、添付ファイルの種類を検証する仕組みが抜けていました。そのため、ログインしていない攻撃者が、実行可能なPHPファイルを公開フォルダに送り込み、Webから直接呼び出して実行できてしまいます。設置されたファイルが実行されると、そのままサーバー上で攻撃者の命令が走ります。対象はバージョン1.0から2.4.0までで、開発元は2026年7月9日に公開した2.4.1で修正しました。この欠陥は修正版が出る前から悪用されていたとされ、CISAの攻撃確認リスト(KEV)に登録されています。
CVE-2026-48939:iCagenda、イベント投稿フォームからPHPを実行(危険度9.8・実際に悪用)
iCagendaでは、来訪者がイベントを投稿する際のファイル添付機能に、同じく種類を確かめずにファイルを受け取る欠陥がありました。ログイン不要で、イベント投稿フォームからPHPのプログラム(Webシェルと呼ばれる遠隔操作用の裏口)を送り込み、サーバーを乗っ取れます。対象は3.2.1から3.9.14まで、および4.0.0から4.0.7までで、開発元は2026年6月15日に4.0.8を、翌日に旧系列向けの3.9.15を公開して修正しました。この欠陥は「icagenda-batch/1.0」を名乗る自動スキャナーによる悪用が観測されており、攻撃を再現する実証コードも公開されています。修正版が出る前から狙われていた点で、緊急度が高い案件です。
影響を受けるバージョンと対策
それぞれの対象バージョンと修正版は次の通りです。実際に悪用されているため、該当する場合は最優先で更新してください。
| 拡張機能 | 識別番号 | 危険度 | 対象 | 修正版 |
|---|---|---|---|---|
| Balbooa Forms | CVE-2026-56291 | 9.8 | 1.0〜2.4.0 | 2.4.1 |
| iCagenda | CVE-2026-48939 | 9.8 | 3.2.1〜3.9.14 4.0.0〜4.0.7 | 3.9.15 4.0.8 |
すぐに更新できない事情がある場合の一時しのぎとして、該当する拡張機能を一時的に無効にする、フォームやイベント投稿のページを一時的に非公開にするといった手当てで悪用の入口を狭められます。ただし、すでに広く狙われているため、これらは時間稼ぎにすぎません。根本的には最新版への更新と、侵入されていないかの点検が必要です。
確認できていること、まだ分からないこと
✓ 確認済みの事実
- ✓両方とも、無認証・利用者操作なしでファイルをアップロードでき、RCE(サーバー乗っ取り)に至る。危険度は各9.8(NVD:Balbooa / NVD:iCagenda)
- ✓すでに実際の攻撃に悪用されており、米政府CISAの攻撃確認リスト(KEV)に登録済み。iCagendaは「icagenda-batch/1.0」を名乗る自動スキャナーによる悪用が観測されている
- ✓修正版は公開済み(Balbooa Forms 2.4.1/iCagenda 4.0.8・3.9.15)。原因はいずれもファイル種別の未検証(CWE-434)
? まだ確認されていないこと
- ?国内サイトでの具体的な被害件数や、日本語圏での悪用状況の詳細は、公開時点で明らかになっていない
- ?すでに侵入された環境が、いつ・どこまで悪用されたかは個々のサイトごとに確認が必要(KEVの最新状況はこちらで確認できる)
- ?無認証かつ悪用中のため、未更新のサイトはすでに侵入されている可能性を前提に点検するのが安全
今すぐできる対策
対策の軸ははっきりしています。Balbooa Formsは2.4.1、iCagendaは4.0.8(旧系列は3.9.15)へ更新することが最優先です。すでに悪用が確認されているため、放置した分だけ乗っ取られる危険が高まります。Joomlaの管理画面から拡張機能の更新を確認し、最新版を適用してください。
更新に加えて、すでに侵入されていないかの点検が重要です。サーバーのアップロード先フォルダに見覚えのないPHPファイルが置かれていないか、身に覚えのない管理者アカウントが増えていないか、ページが改ざんされていないかを確認してください。あわせて、アクセス記録に「icagenda-batch」などの不審なアクセスがないかも手がかりになります。侵入の疑いがある場合は、バックアップからの復元やセキュリティ専門業者への相談を検討してください。ファイルの受け取りを伴う機能の欠陥は、予約受付プラグインLatePointの脆弱性のように製品を問わず繰り返し起きるため、使っていない拡張機能は削除し、有効なものだけを最新に保つのが基本です。
| 立場 | 今できること | 優先度 |
|---|---|---|
| サイト運営者 | 最新版へ更新 侵入の有無を点検 | 最優先 |
| 制作を請け負う人 | 納品先の拡張機能・版数確認 不審ファイルの点検 | 高 |
| すでに侵入の疑い | 不審PHPの削除・侵入経路調査 バックアップ復元を検討 | 高 |
よくある質問
Q. 自分のサイトがBalbooa FormsやiCagendaを使っているか、どう確認すればいいですか。
A. Joomlaの管理画面にログインし、「システム」→「拡張機能の管理」から、インストール済みの拡張機能の一覧を確認できます。Balbooa FormsやiCagendaがあり、バージョンが対象範囲であれば更新が必要です。制作会社に任せている場合は、担当者に拡張機能の確認と更新を依頼してください。
Q. 「実際に攻撃されている」とは、どういう意味ですか。
A. 米政府のサイバー攻撃対策機関CISAが、実際に悪用が確認された脆弱性をまとめた「攻撃確認リスト(KEV)」に、今回の2件を登録したという意味です。つまり、理論上の危険ではなく、現に攻撃者がこの穴を突いてサイトを乗っ取ろうとしている状態です。未更新のサイトは、すでに狙われている可能性を前提に対応してください。
Q. 更新すれば、もう安全ですか。
A. 更新でこの穴自体は塞がれますが、更新前にすでに侵入されていた場合、裏口(Webシェル)が残されている可能性があります。更新後も、見覚えのないPHPファイルや管理者アカウントがないか、ページが改ざんされていないかを点検してください。心配な場合は、クリーンなバックアップからの復元が確実です。
Q. フォームやイベント投稿の機能を使っていなければ安全ですか。
A. 拡張機能自体がインストールされ有効になっていると、機能を積極的に使っていなくても攻撃の窓口が公開されている場合があります。確実なのは最新版へ更新することです。使っていない拡張機能は、無効化ではなく削除しておくと、こうしたリスクを減らせます。
まとめ
今回の件は、Joomlaの人気拡張機能であるBalbooa FormsとiCagendaが、ファイルの種類を確かめずに受け取っていたために、ログインなしの第三者からプログラムファイルを送り込まれ、サーバーごとサイトを乗っ取られるという話です。危険度はどちらも9.8で、しかもすでに実際の攻撃に使われており、CISAの攻撃確認リストにも登録されています。理論上の危険ではなく、現在進行形の脅威です。
救いは、どちらもすでに修正版が公開されていることです。Balbooa Formsは2.4.1、iCagendaは4.0.8(旧系列は3.9.15)へ更新すれば、この穴は塞げます。ただし悪用が先行しているため、更新と同時に、すでに侵入されていないかの点検まで済ませておくことが大切です。ファイルの受け取りを伴う機能は狙われやすいという前提で、拡張機能をこまめに最新に保つ習慣を身につけておきたいところです。新たな悪用の動きがあれば、あらためてお伝えします。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go