社内ログイン基盤authentikに脆弱性、空送信で突破 CVE-2026-49448ほか4件
社内のシングルサインオンに広く使われる認証基盤authentikに、深刻な脆弱性が4件見つかりました。最も危ないものは、ログインしていない第三者が空のデータを送るだけで認証ステップを飛ばし、なりすましでログインできてしまう欠陥(CVE-2026-49448・CVSS 9.8)です。対象バージョンと、いますぐ上げるべき修正版、確認手順をまとめました。
堀川 慎
Backend Engineer / AWS / Django / Go
社内のシングルサインオンに広く使われる認証基盤authentikに、深刻な脆弱性が4件見つかりました。最も危ないものは、ログインしていない第三者が空のデータを送るだけで認証ステップを飛ばし、なりすましでログインできてしまう欠陥(CVE-2026-49448・CVSS 9.8)です。対象バージョンと、いますぐ上げるべき修正版、確認手順をまとめました。
社内の各種アプリへのログインを一手にまとめる認証基盤「authentik(オーセンティック)」に、合計4件の脆弱性が公表されました。中でも深刻なのは、ログインしていない第三者が「空のデータ」を送るだけで、本来通るべき認証のステップを丸ごと飛ばせてしまう欠陥(CVE-2026-49448・危険度CVSS 9.8)です。authentikは、1つのIDで複数のサービスにログインできるようにする「シングルサインオン」の土台ソフトで、企業や個人が自前で立てて使う製品として、開発拠点のGitHubでは1万件を超える支持を集めています。
authentikのような認証基盤は、社内で使うメール・チャット・経費精算・ソースコード管理といったツールへの「入口」をまとめて預かる存在です。その入口が破られると、つながっている先のサービスへ芋づる式に被害が広がりかねません。今回の4件は深刻度も悪用の条件もそれぞれ異なり、「全部が誰でもすぐ踏める」わけではありません。本記事では、どの欠陥がどんな条件で危ないのか、自分の環境が影響を受けるのか、どのバージョンへ更新すればよいのかを順番に整理します。
4件の脆弱性の概要
まず4件を一覧にします。読みどころは、「ログイン不要かどうか」と「特定の機能を使っているかどうか」です。数字(CVSS)が大きくても、悪用に特定の設定や権限が要るものは、実際に踏める範囲が狭まります。
| 整理番号 | 何が起きるか | ログイン | CVSS | 悪用の前提 |
|---|---|---|---|---|
| CVE-2026-49448 | 認証ステップを飛ばし 外部ログインを突破 | 不要 | 9.8 | ソースステップを 含むフロー利用 |
| CVE-2026-42849 | ログイン画面に 不正スクリプトを注入 | 不要 (操作誘導あり) | 9.3 | 旧ブラウザ互換の 簡易画面を使用 |
| CVE-2026-49443 | 他人になりすまして ログイン | 必要 (低権限) | 8.8 | 接続情報を変更できる 権限+既存アカウント |
| CVE-2026-47201 | 連携ログインで 別人になりすまし | 必要 (連携先の口座) | 8.5 | SAML連携での 外部ログイン利用 |
最も注意すべきは、ログイン不要で踏める2件です。CVE-2026-49448はCVSS 9.8で、外部サービス経由のログイン用ステップを含む設定が前提ですが、条件がそろえば認証そのものを飛ばされます。CVE-2026-42849はCVSS 9.3で、利用者を細工した画面へ誘導する一手間が要ります。残る2件はログインや一定の権限を必要とします。いずれにせよ、対応は修正版へ更新する一手に集約されます。
認証の門が空の一通で開くとき、社員になりすます者たち
authentikは、社内で使うほぼ全てのアプリの「入口の鍵束」を一カ所で預かる仕組みです。だからこそ、その鍵束を空のデータ一発で素通りできるという今回のCVE-2026-49448が何を意味するのかは、CVSSの数字より先に、それを欲しがる相手の側から見たほうが早く伝わります。守る対象は1台のサーバーではなく、その先につながる会社の全システムだからです。
この穴に手を伸ばすのは、他社の社内ネットワークに忍び込んで顧客名簿や売上データを抜き取るサイバー窃盗団、侵入口だけを仕入れて他のグループへ転売する初期アクセス業者、そして辞めた社員や取引先を装って元の社内システムへ入り直そうとする者です。彼らが欲しがるのは、社員のメール本文、給与と人事評価のファイル、顧客の個人情報、社内チャットの過去ログ、クラウドの管理画面のパスワードです。認証を飛ばす穴を一度通されれば、攻撃者は正規の社員になりすまして中に立ち、これらに正面から手を伸ばせる権限を奪い取ります。
認証基盤を破る怖さは、被害が1つのアプリで止まらない点にあります。シングルサインオンは「1回のログインで連携する全サービスに入れる」仕組みなので、入口を1つ突破されれば、メールも、チャットも、経費精算も、ソースコード管理も、すべてに正規ログインで雪崩れ込まれます。攻撃者はまず管理者の設定や利用者の一覧を静かに偵察し、目立たない低権限の足場を作ってから、CVE-2026-49443のように他人へのなりすましや権限の引き上げへと横に広げていきます。入口の一点が、社内全体への通路になるのです。
CVSS 9.8という数字が示すのは、あくまで技術的な深刻度の最高値です。authentikを立てて社内の認証を任せている情報システム担当者にとって、本当に失われるのは「誰がいつ、どの社員になりすまして何を持ち出したのか分からない」という事実そのものです。ログを後から追っても、正規のログインに見える侵入は区別が難しく、影響範囲の特定と利用者全員への通知、パスワードの一斉作り替えに追われることになります。だからこそ、自分の環境が条件に当てはまるかを早く確かめ、修正版へ上げられるかが安全を分けます。
そもそもauthentikとは何か
authentikは、社員が1つのIDとパスワードで社内の複数のアプリにログインできるようにする「認証基盤(アイデンティティ・プロバイダー)」です。商用サービスのOkta(オクタ)やAuth0(オースゼロ)、Microsoftの認証サービスと同じ役割を、自前のサーバーに立てて無料で使えるオープンソース製品として提供されており、社内の検証環境から本番の大規模運用まで幅広く使われています。仕組みとしては、ログインの手順を「フロー」と呼ぶ部品の組み合わせで自由に設計できるのが特徴です。
この「フロー」の中には、GoogleやGitHub、自社の別の認証システムといった外部サービス経由でログインさせるステップ(ソースステップ)を差し込むことができます。今回最も深刻なCVE-2026-49448は、まさにこのソースステップに関わる欠陥です。authentikは無料で使えるMITライセンスで公開されており、誰でもソースコードを読めるため、研究者による解析と、開発元による迅速な修正公表が回りやすい土壌もあります。
今回の4件は、開発元のAuthentik SecurityがGitHub上のセキュリティアドバイザリで公表し、修正版を提供しています。外部からの不正アクセスを受けて発覚した事案ではなく、修正と同時に告知された形です。認証サーバーで秘密鍵が漏れたCloud Foundryの件と同様、認証という「土台」そのものに穴が見つかると、その上に乗る全サービスへ影響が及ぶ点で注意が要ります。
4件の中身を1つずつ見る
それぞれの欠陥が「誰が・どの条件で・何をできるのか」を、深刻な順に整理します。各欠陥の正式な説明は、開発元の公式アドバイザリと米国の脆弱性データベース(NVD)に基づいています。
CVE-2026-49448:空のデータ送信で認証ステップを突破(CVSS 9.8)
公式アドバイザリの説明は「ソースステップは、空のPOSTを送ることで回避できる(The Source stage can be bypassed by sending an empty POST)」というものです。POSTとは、Webブラウザがサーバーへデータを送るときの基本的な送信方式です。authentikでは、外部サービス経由のログイン用ステップ(ソースステップ)に対して中身のない空のデータが送られると、本来必要な検証を経ずに次の手順へ進んでしまいます。開発元の説明によれば、ログイン手順にソースステップが組み込まれ、そのソースが「外部ログインのボタン」を出していて、攻撃者がそのステップに到達できる場合に、当該ステップ=その外部認証を実質的に飛ばせるとされます。ログインは不要で(評価ベクトルはPR:N=権限不要)、4件の中で最も影響範囲が広い欠陥です。
CVE-2026-42849:ログイン画面に不正なスクリプトを差し込む(CVSS 9.3)
NVDの説明によれば、古いブラウザでも動くように用意された簡易ログイン画面(SFE=Simple Flow Executor)の実装が原因で、その自動送信ステップ(AutosubmitStage)でクロスサイトスクリプティングの悪用が可能だったとされています(CWE-79・クロスサイトスクリプティング)。クロスサイトスクリプティングとは、Webページに攻撃者の用意したスクリプト(小さなプログラム)を埋め込み、それを開いた利用者のブラウザ上で実行させる攻撃です。ログイン画面でこれが成立すると、入力した認証情報の盗み取りや、その利用者になりすました操作につながり得ます。権限は不要ですが、利用者を細工した画面へ誘導する一手間が前提になります。この欠陥はほかの3件より一足早く修正版が出ています。
CVE-2026-49443:他人になりすましてログインできる(CVSS 8.8)
公式アドバイザリの説明は「接続情報を変更できる権限と、設定済みのいずれかのソースのアカウントを持つ攻撃者は、任意のアカウントにログインできる」というものです。authentikが外部サービスとの連携情報を扱う部分で、本来は書き換えられないはずの「どの利用者・どのグループに紐づくか」という項目が、操作用の窓口(API)を通じて変更できてしまうことが原因とされています(CWE-287・不適切な認証)。悪用には、接続情報を変更できる一定の権限を持つログイン済みの利用者であることが前提ですが、成立すれば管理者を含む他人へのなりすましにつながります。
CVE-2026-47201:連携ログインの署名をすり替えて別人になりすます(CVSS 8.5)
NVDの説明によれば、authentikのSAMLソースの受け口(ACSエンドポイント)が、上流のSAML応答を検証する際にXML署名ラッピングに対して脆弱であり、上流の認証システムに何らかのアカウントを持つ攻撃者が、正しく署名された認証データを使い回して別の利用者になりすませるとされています(CVE-2026-47201)。SAMLとは、別々のシステム間で「この人は本人です」という認証結果を受け渡すための共通の仕組みです。その受け渡しに使う電子署名の検証に隙があり、本物の署名を保ったまま中身の身元情報だけを差し替えられる、という性質の欠陥です。SAML連携を使っている環境が対象で、開発元は暫定策として該当するSAMLソースを無効化するか、その受け口へのアクセスを遮断することを挙げています。
悪用は確認されているのか
現時点で分かっていることと、まだ確認できていないことを分けて整理します。
✓ 確認済みの事実
? 現時点で未確認のこと
- ?実際に悪用された事例 ― 本記事時点でCISAの悪用が確認された脆弱性リスト(KEV)に未登録で、公開された攻撃コードも確認できていない
- ?発見者・報告者の詳細 ― 公式アドバイザリの公表内容にとどまり、第三者による技術検証はまだ少ない
自分のバージョンと修正版の早見表
対応の基本は、使っているauthentikの系列(ブランチ)に応じて、下の修正版以降へ更新することです。深刻なCVE-2026-49448を含む3件は同じ修正版でまとめて直り、一足早く出ていたCVE-2026-42849の修正も、最新版へ上げれば当然に含まれます。迷ったら各系列の最新版へ上げるのが確実です。
| 使用中の系列 | 影響を受ける版 | 更新先(修正版) |
|---|---|---|
| 2025.12 系 | 2025.12.5 以前 | 2025.12.6 |
| 2026.2 系 | 2026.2.3 以前 | 2026.2.4 |
| 2026.5 系 | 2026.5.0 | 2026.5.1 |
| XSS(42849)のみ | 2025.12.5 未満 2026.2.3 未満 | 2025.12.5 2026.2.3 で修正済 |
正確な影響範囲と最新の修正版は、authentikの公式リリースページと各アドバイザリで必ず確認してください。すぐに更新できない場合の暫定策として、SAML連携の欠陥(CVE-2026-47201)については、開発元が該当するSAMLソースの無効化、または受け口へのアクセス遮断を挙げています。国内で広く使われる製品の脆弱性を体系的に追いたい場合は、2026年上半期の重大な脆弱性まとめもあわせて確認してください。
管理者がいま確認すべきこと
最優先は、運用しているauthentikのバージョンを確かめ、上の表の修正版以降へ更新することです。とくにGoogleやGitHub、自社の別システムなど外部サービス経由のログインを組み込んでいる環境は、最も深刻なCVE-2026-49448の影響を受けやすいため、ログイン手順(フロー)にソースステップが含まれていないかを真っ先に点検してください。SAML連携を使っている環境は、CVE-2026-47201の対象になり得ます。
あわせて、更新後は不審なログイン履歴の確認も検討に値します。認証回避やなりすましの欠陥は、成立しても正規のログインに見えるため、被害が起きていた場合は気づきにくいためです。心当たりのある環境では、利用者のセッションを一度切って再ログインを求める、重要アカウントのパスワードを作り替えるといった対応も選択肢になります。認証という土台を狙う欠陥は、同じ時期にも続いています。コンテナ基盤のOpenShiftの設定割り込み(CVE-2026-1784)や、企業向けCMSのSitefinityの情報露出もその一例で、システムの「入口」を最新に保つことの重みが増しています。
よくある質問
Q. CVSS 9.8のCVE-2026-49448は、すべてのauthentikで危ないのですか?
A. いいえ。悪用には「ログイン手順(フロー)に外部サービス経由のログイン用ステップ(ソースステップ)が組み込まれ、そのソースが外部ログインのボタンを出していて、攻撃者がそのステップに到達できる」という条件が前提です。とはいえ外部ログインは広く使われる機能のため、該当する環境は早急に修正版へ更新してください。
Q. ログイン不要で本当に危ないのはどれですか?
A. ログイン不要で踏めるのはCVE-2026-49448とCVE-2026-42849の2件です。ただし49448は外部ログイン用ステップの利用が前提、42849は利用者を細工した画面へ誘導する一手間が必要です。該当する環境は最新の修正版へ更新してください。
Q. どのバージョンへ更新すればよいですか?
A. 系列ごとに、2025.12.6/2026.2.4/2026.5.1以降が修正版です。XSSのCVE-2026-42849は2025.12.5/2026.2.3で先に修正されていますが、最新版へ上げれば4件すべてが解消します。正確な情報はauthentikの公式リリースとアドバイザリで確認してください。
Q. authentikを使っていなければ無関係ですか?
A. はい、今回の4件はauthentik固有の欠陥です。ただし、OktaやAuth0なども含め「認証基盤」は社内の全アプリの入口を預かる重要な土台で、ここに穴があると被害が広範囲に及びます。自前で認証基盤を運用している場合は、製品を問わずバージョン管理と更新を習慣づけることが大切です。
まとめ
社内のシングルサインオンに使われる認証基盤authentikで、合計4件の脆弱性が公表されました。最も注意すべきは、ログイン不要で踏めるCVE-2026-49448(CVSS 9.8・空のデータ送信で認証ステップを突破)とCVE-2026-42849(CVSS 9.3・ログイン画面への不正スクリプト注入)の2件です。数字は深刻ですが、悪用には外部ログイン用ステップの利用や利用者の操作誘導といった前提があるものが多く、「全部が誰でもすぐ踏める」わけではありません。対応はシンプルで、自分の系列に応じた修正版(2025.12.6/2026.2.4/2026.5.1以降)へ更新することに集約されます。外部サービス経由のログインやSAML連携を使っている環境はとくに優先度が高く、更新後は不審なログイン履歴の確認まで含めて対応を計画してください。認証という土台に開いた穴は、その上に乗る全サービスに響きます。