スマホアプリ即時更新サービスCapgoに脆弱性多数、アカウント乗っ取りの恐れ、CVE-2026-56237、v12.128.2へ更新を
スマホアプリの中身を審査なしで即時更新できるサービス『Capgo』に、認証の不備による脆弱性が多数見つかりました。CVE-2026-56237ほか、最も重い深刻度はCVSS9.1。他人のアカウントや組織を乗っ取り、アプリに配るプログラム更新を不正に操作される恐れがあります。バージョン12.128.1以前が対象で、修正版12.128.2以降への更新が必要です。
堀川 慎
Backend Engineer / AWS / Django / Go
スマホアプリの中身を審査なしで即時更新できるサービス『Capgo』に、認証の不備による脆弱性が多数見つかりました。CVE-2026-56237ほか、最も重い深刻度はCVSS9.1。他人のアカウントや組織を乗っ取り、アプリに配るプログラム更新を不正に操作される恐れがあります。バージョン12.128.1以前が対象で、修正版12.128.2以降への更新が必要です。
スマホアプリの中身をアプリストアの審査を待たずに即時更新できるサービス「Capgo」に、認証(本人確認)や権限管理の不備による脆弱性(プログラムの欠陥)が多数見つかりました。最も深刻なものはCVE-2026-56237で、深刻度は10点満点中9.1(緊急)です。
いずれもバージョン12.128.1以前が対象で、米セキュリティ企業VulnCheckが調査し、2026年6月に一斉公開しました。修正は12.128.2以降に含まれています。攻撃者が許可なくAPIキー(サービスを操作するための鍵)を作り出せるもの、他人のアカウントや組織を乗っ取れるものなどが含まれ、アプリに配る更新を不正に操作される恐れがあるため、自分でCapgoを運用しているところはすぐに更新が必要です。
Capgoとはどんなサービスか
Capgoは、Capacitor(キャパシター)というしくみで作られたスマホアプリに、アプリストアの審査を通さずに中身を更新する機能を提供するサービスです。Capacitorは、ホームページ作りと同じ技術(HTML・CSS・JavaScript)でiPhoneやAndroid向けのアプリを作るための開発基盤で、Ionic社が公開しています。
通常、アプリの不具合を直すたびにApp StoreやGoogle Playの審査を待つ必要がありますが、Capgoを使うと画面まわりの修正を数分で利用者の端末へ届けられます。この「審査なしで中身を差し替える」しくみは、業界ではライブアップデート(OTA更新)と呼ばれます。便利な反面、配信のしくみを乗っ取られると、利用者の端末に好きなプログラムを送り込まれかねない、という重さも併せ持ちます。
Capgoの公式サイトによると、3,500社以上が利用し、本番稼働中のアプリは1,700本以上、更新を届けた端末は延べ5,000万台を超えるとされています。アプリに組み込む部品(プラグイン)はオープンソースとして公開され(npmで配布)、Capgoが運用する「Capgo Cloud」を使うことも、自分のサーバーで動かす(セルフホスト)こともできます。今回の脆弱性は、このサーバー側のしくみに集中しています。
誰が狙い、何をされ、どうなるのか
今回の弱点の大半は、Capgoのサーバー側にある「誰がどこまで操作してよいか」の確認の甘さです。中でも危ないのは、相手が誰かを確かめないまま操作を許してしまう穴があることです。
狙うのは、Capgoでアプリを配信している開発元のアカウントや、その操作用の鍵(APIキー)を乗っ取りたい攻撃者です。アプリに不正なコードを紛れ込ませて利用者に広めたい者、競合や内部の人間でCapgo上の権限の一部を持つ者などが想定されます。最も深刻なCVE-2026-56237にいたっては、ログインすらしていない外部の第三者がAPIキーを偽造できてしまう点が特徴です。
攻撃者がすることは、正規の許可なくAPIキーを作り出したり、他人のアカウント・組織になりすまして、アプリの更新配信を管理する権限を奪うことです。Capgoは「アプリの中身を後から差し替える」ためのサービスなので、配信の主導権を握られると、その先にいる一般の利用者の端末に影響が及ぶ可能性があります。
被害が現実になった場合、アプリを使うエンドユーザーは、改ざんされた更新を受け取ったり、登録情報を抜き取られたりする恐れがあります。アプリを運営する企業にとっては、リリースの管理権限と顧客データの両方を失いかねず、信用問題に直結します。なお、攻撃に実際に使われ始めた脆弱性は、米政府機関CISAの「実際に攻撃されている脆弱性リスト」に載ることがあります。日本語で追える一覧はCISA KEV ダッシュボード(日本語版)にまとめています。
主な脆弱性の中身
今回VulnCheckが公開したのは1件ではなく、認証・権限まわりを中心とした数十件の欠陥の集まりです。GitHubのアドバイザリ一覧にもCapgo関連の項目がまとまって登録されています。ここでは、深刻度が高く影響の分かりやすい3件を取り上げます。いずれも12.128.2で修正済みです。
CVE-2026-56237:ログイン不要でAPIキーを偽造できる(CVSS 9.1・緊急)
最も深刻な欠陥です。VulnCheckの説明によると、APIキーを発行するしくみで、キーの情報が画面側(フロントエンド)の通信に露出しており、サーバー側の検証も不十分でした。このため、外部の第三者がリクエストの値を細工するだけで、正規の許可なく自分用のAPIキーを作り出せてしまいます。作ったキーで、本来は許可された人しか触れない機能にアクセスできる状態でした。ログインを必要としない(認証不要)点が、この欠陥を「緊急」たらしめています。
CVE-2026-56223:他人のアカウントを乗っ取れる(CVSS 8.7・重要)
会社単位のログイン連携(シングルサインオン)まわりの欠陥です。公開情報によると、外部のログイン基盤を悪用できる立場の攻撃者が、被害者のメールアドレスを含む「ログイン証明」を偽造することで、アカウントの統合を引き起こし、被害者のアカウント・組織・データへ完全にアクセスできてしまいます。原因は、ログイン連携を申し出てきた相手のドメイン(所属)を十分に確認せず、メールアドレスの一致だけでアカウントを結びつけてしまっていた点にあります。
CVE-2026-56232:制限付きの鍵が制限を振り切る(CVSS 8.8・重要)
権限を絞ったはずのAPIキー(サブキー)が、その制限を回避できてしまう欠陥です。VulnCheckの説明では、「この組織・このアプリだけ」と利用範囲を限定したサブキーについて、特定のヘッダー(通信の付帯情報)を指定すると、その制限が反映されず、制限のない親キーの権限で処理が実行されてしまうとされています。本来は安全に配れるはずの限定キーが、想定を超える操作に使えてしまう状態でした。
この3件のほかにも、公開鍵だけで他社の利用状況をのぞけるもの、APIキーの有効性や持ち主を確かめられてしまうもの、課金記録を改ざんできるものなど、サーバー側の権限確認に関する欠陥が連なって公開されています。これらはアプリに組み込む部品が外部から取り込まれる構造とも無縁ではなく、開発で取り込む外部部品の管理はOSS サプライチェーン スキャナーの考え方とあわせて見直す価値があります。
自分が対象かどうかの早見表
今回の脆弱性はCapgoのサーバー側のしくみにあります。そのため、Capgoを「どう使っているか」で取るべき対応が変わります。Capgoが運用するクラウドを使っている場合と、自分のサーバーで動かしている場合を分けて整理します。
| 使い方 | 今回の影響 | やること |
|---|---|---|
| Capgo Cloud (公式ホスティング) | サーバー側はCapgoが 修正済み | プラグインを最新へ更新し、 不審なAPIキー・メンバーを点検 |
| セルフホスト (自社サーバー運用) | 12.128.1以前は 影響あり | 最優先で 12.128.2以降へ更新 |
| 利用していない | 該当せず | 対応不要 |
Capgo Cloudの利用者は、サーバー側の修正はCapgo側で適用されますが、念のため発行済みのAPIキーや組織メンバー、心当たりのないアプリ・チャンネルがないかを点検しておくと安心です。セルフホストの場合は、自分の責任で12.128.2以降へ更新する必要があります。なお、一部の軽微な不具合はさらに後のバージョンで追加修正されているため、可能なら最新版まで上げておくのが確実です。
いま取るべき対策
最優先は、Capgoを12.128.2以降へ更新することです。セルフホストで運用している場合は、サーバー側のバージョンを確認し、古ければすぐに上げてください。Capgo Cloudを使っている場合も、アプリに組み込んだプラグインを最新へ更新しておくとよいでしょう。
あわせて、発行済みのAPIキーを一度見直し、使っていないものは無効化してください。今回は許可のないキーを作られたり、制限付きのキーが制限を超えて使えたりする欠陥が含まれるため、キーの棚卸しは有効です。会社単位のログイン連携(シングルサインオン)を使っている場合は、身に覚えのないアカウント統合や、見慣れないメンバーが組織に追加されていないかも確認しておくと安全です。万一、不正な更新が配信された形跡がある場合は、配信履歴(バンドル履歴)をたどり、正規のバージョンへ戻したうえで原因を調べてください。
まとめ
Capgoで見つかった一連の脆弱性は、サーバー側の認証・権限管理の甘さを突くもので、最も深刻なCVE-2026-56237はログイン不要でAPIキーを偽造できる緊急(CVSS 9.1)の欠陥です。CVE-2026-56223では他人のアカウント乗っ取り、CVE-2026-56232では制限付きキーの権限逸脱が起こり得ます。いずれも12.128.1以前が対象で、12.128.2以降で修正されています。
Capgoは「アプリの中身を審査なしで差し替える」性質上、配信のしくみを握られたときの影響が大きいサービスです。セルフホストで運用しているなら、まずバージョンを確認し、古ければ今すぐ更新してください。Capgo Cloudの利用者も、APIキーと組織メンバーの点検をおすすめします。Capgoに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。
参照元
- ▸NVD - CVE-2026-56237(ログイン不要のAPIキー偽造・CVSS 9.1)
- ▸NVD - CVE-2026-56223(シングルサインオン経由のアカウント乗っ取り)
- ▸NVD - CVE-2026-56232(サブキーの権限制限バイパス)
- ▸VulnCheck Advisories - Capgo 脆弱性の一覧(発見・公開元)
- ▸GitHub Advisory Database - Capgo 関連アドバイザリ
- ▸GitHub - Cap-go/capacitor-updater(オープンソースのプラグイン)
- ▸npm - @capgo/capacitor-updater(配布パッケージ・バージョン履歴)
- ▸Capgo 公式サイト(サービス概要・導入規模)
- ▸Capacitor 公式サイト(アプリ開発基盤の説明)