トップ/記事一覧/社外から社内につなぐ装置Citrix NetScalerにログイン前でも情報を抜かれる脆弱性 CVE-2026-8451、『CitrixBleed』再来で悪用中
citrix-netscaler-cve-cover-ja

社外から社内につなぐ装置Citrix NetScalerにログイン前でも情報を抜かれる脆弱性 CVE-2026-8451、『CitrixBleed』再来で悪用中

多くの企業が社外から社内へつなぐために使う機器Citrix NetScalerに、ログイン前でも内部データを抜き取られる脆弱性CVE-2026-8451(危険度8.8)が見つかりました。2023年に大規模侵害を招いた『CitrixBleed』の再来で、公開から24時間以内に攻撃が始まっています。盗まれた鍵で社員になりすまされる恐れがあり、修正版への更新とセッションの全切断が必要です。

ニュース2026年7月8日公開 本日更新
目次
この記事のポイント

多くの企業が社外から社内へつなぐために使う機器Citrix NetScalerに、ログイン前でも内部データを抜き取られる脆弱性CVE-2026-8451(危険度8.8)が見つかりました。2023年に大規模侵害を招いた『CitrixBleed』の再来で、公開から24時間以内に攻撃が始まっています。盗まれた鍵で社員になりすまされる恐れがあり、修正版への更新とセッションの全切断が必要です。

社外から社内のシステムへ安全につなぐために多くの企業が使う機器「Citrix NetScaler」に、ログインする前の段階で装置の内部データを抜き取られる脆弱性が見つかりました。管理番号はCVE-2026-8451、危険度は10点満点で8.8です。2023年に世界中で大規模な侵害を引き起こした「CitrixBleed(シトリックスブリード)」と同じ種類の欠陥で、「CitrixBleedの再来」と報じられています。

Citrixは2026年6月30日に修正版を公開しましたが、公開から24時間も経たないうちに実際の攻撃が始まったことが、セキュリティ企業Lupovisの観測で確認されています。抜き取られた内部データにはログイン済みの利用者の「鍵」が紛れ込むことがあり、これを拾われるとパスワードも二要素認証もすり抜けて社員になりすまされる恐れがあります。NetScalerを運用している組織は、今すぐ修正版へ更新してください。

脆弱性の概要

項目内容
管理番号CVE-2026-8451
対象機器Citrix NetScaler ADC / Gateway
(SAML認証の窓口として設定した装置)
欠陥の種類メモリの読み過ぎ
(内部データの漏えい)
危険度(10点満点)8.8
ログインの要否不要(ログイン前に悪用可能)
成立条件装置がSAML認証の窓口
(IdP)として設定されていること
悪用状況実際の攻撃を確認
(公開から24時間以内)
対策修正版へ更新。すぐに更新できない
場合はSAML IdPを一時停止

※「危険度」は脆弱性の深刻さを10点満点で表す国際的な指標CVSSの値です。「SAML認証の窓口(IdP)」とは、社員が一度のログインで複数のサービスを使えるようにする仕組みの入口のことです。

誰が狙い、どんな被害になるのか

狙ってくるのは、企業の入口となる機器から盗んだ「鍵」を使って社内ネットワークに侵入する攻撃者です。この種の欠陥は過去に、身代金要求型ウイルス(ランサムウェア)の集団や、国家が背後にいるとされる攻撃グループに悪用されてきました。NetScalerは社外と社内をつなぐ関所のような機器で、そこを破られると社内全体が危険にさらされるため、攻撃者にとって価値の高い標的です。

攻撃者がすることは、ログインする前に装置のメモリの中身を少しずつ抜き取り、そこに紛れ込んだ「ログイン済みの利用者の鍵」を拾い集めることです。この鍵(セッショントークン)は、いわば「もう本人確認は済んでいます」という通行証です。攻撃者がこれを手に入れると、パスワードを知らなくても、二要素認証を突破しなくても、その社員になりすまして社内システムに入れてしまいます

なりすましで社内に入られると、そこを足がかりに別のシステムへ広がり、機密情報や個人情報を盗まれ、最終的にはランサムウェアを仕掛けられる恐れがあります。困るのは、まずNetScalerを運用する企業・組織ですが、その先にいる従業員や、サービスを利用する顧客の情報も危険にさらされます。2023年に流行した最初のCitrixBleedでは、この手口で世界の大企業や病院、金融機関が相次いで侵害されました。今回はその再来です。

Citrix NetScalerとは、なぜ狙われるのか

Citrix NetScaler(ADC / Gateway)は、社外にいる社員が社内システムやアプリへ安全に接続するための入口となる機器です。通信の振り分けやリモート接続、社員のログイン管理などを担い、多くの企業や官公庁がインターネットとの境界に設置しています。役割の性質上、常にインターネットに向けて公開されているため、脆弱性が見つかると真っ先に狙われます。

今回のような「ログイン前に情報を抜ける」欠陥が特に危険なのは、盗まれるのが単なるデータではなく、本人確認を済ませた通行証そのものだからです。パスワードを変更しても、二要素認証を有効にしても、通行証を盗まれてしまえば意味をなしません。だからこそ、修正版への更新に加えて、盗まれた通行証を無効化する(後述の対策)ことまでが必要になります。実際に攻撃されている脆弱性は、米政府CISAの実際に攻撃された脆弱性リスト(KEV)でも順次公開されます。

脆弱性の詳細

CVE-2026-8451: SAMLの解析処理でメモリを読み過ぎる

技術的な原因を解析したwatchTowr Labs(研究者Aliz Hammond氏)によれば、問題はNetScalerがSAML認証の要求を解析する部分にあります。データの区切りを表す「引用符で囲われていない値」が改行で終わっていても、解析処理がそれを終わりと認識せず、本来読むべき範囲を越えてメモリを読み進めてしまいます。その結果、本来応答に含まれるはずのない、隣り合ったメモリの中身が「NSC_TASS」というクッキーに紛れて外部へ返されるのです。この漏えいするメモリの中に、ログイン済み利用者のセッションの鍵などが含まれることがあります。

この欠陥は、2026年3月に見つかった同種の脆弱性(CVE-2026-3055)を調べる過程で発見されました。研究者は「NetScalerのメモリ管理はもろい状態が続いている」と指摘しています。つまり、根が同じ問題が繰り返し表面化しているということです。悪用には装置がSAML認証の窓口(IdP)として設定されていることが前提ですが、この条件を満たす装置は、ログイン不要で外部から情報を抜かれてしまいます。

対象バージョンと更新先

製品・系統危険な版更新先
NetScaler ADC / Gateway 14.114.1-72.61 未満14.1-72.61 以降
NetScaler ADC / Gateway 13.113.1-63.18 未満13.1-63.18 以降
NetScaler ADC 14.1 FIPS14.1-72.61 FIPS 未満14.1-72.61 FIPS 以降
NetScaler ADC 13.1 FIPS / NDcPP13.1-37.272 未満13.1-37.272 以降

※対象は、装置をSAML認証の窓口(IdP)として設定している場合です。すでにサポートが終了した古い系統を使っている場合は、サポート対象の新しい系統へ移行してください。

これまでの経緯

← スワイプで移動

いま何をすべきか

まず、上の表に従って修正版へ更新することが最優先です。すでに攻撃が始まっているため、後回しにはできません。すぐに更新できない場合は、応急処置としてSAML認証の窓口(IdP)機能を一時的に停止すれば、この欠陥の成立条件を外せます。

ただし、CitrixBleed型の欠陥で特に重要なのは、更新後の後始末です。すでにセッションの鍵(通行証)を盗まれている可能性があるため、更新しただけでは、盗まれた鍵を使った侵入を止められません。過去のCitrixBleedと同様に、更新後はすべての利用中セッションを強制的に切断(無効化)し、社員に再ログインを求めてください。あわせて、不審なログインや普段と違う場所からのアクセスがないか、ログを点検することが必要です。

✓ 確認済みの事実

  • Citrix NetScaler(SAML IdP構成)にログイン前でメモリを抜かれる脆弱性、危険度8.8(CVE-2026-8451
  • Citrixが2026年6月30日に修正版を公開。watchTowrが同日に技術詳細を公表(watchTowr Labs
  • 公開から24時間以内に実際の悪用を確認、7月3日には2つ目の攻撃者も観測(SecurityWeek/Lupovis
  • 2026年3月の同種脆弱性(CVE-2026-3055)と同じ根本原因。2023年のCitrixBleedと同型の欠陥(Dark Reading

締めに

NetScalerは、社外と社内をつなぐ関所のような機器です。そこがログイン前に破られ、しかも盗まれるのが「本人確認済みの通行証」であることが、この脆弱性の怖さです。パスワードや二要素認証を固めても、通行証そのものを持ち去られては防げません。2023年のCitrixBleedが世界の大企業や病院を次々に侵害した記憶は新しく、今回はその再来です。

やるべきことは、修正版への更新、SAML IdPの一時停止(更新できない場合)、そして更新後のセッション全切断です。この3つをそろえて初めて、盗まれた通行証による侵入まで断てます。公開から1日で攻撃が始まった事実が示すとおり、猶予はありません。自社のNetScalerの設定とバージョンを、今日確認してください。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go