業務自動化のConductorに認証なしで乗っ取られる脆弱性 CVE-2026-58138
業務の処理を自動でつなぐ基盤Conductor(旧Netflix Conductor)に、認証なしでサーバーを乗っ取れる脆弱性(CVE-2026-58138)が見つかりました。細工したワークフロー定義をAPIに送るだけで、ログイン前に任意の命令を実行されます。深刻度は最高クラスの9.8。修正版3.30.2が公開済みで、直ちの更新が必要です。
目次
業務の処理を自動でつなぐ基盤Conductor(旧Netflix Conductor)に、認証なしでサーバーを乗っ取れる脆弱性(CVE-2026-58138)が見つかりました。細工したワークフロー定義をAPIに送るだけで、ログイン前に任意の命令を実行されます。深刻度は最高クラスの9.8。修正版3.30.2が公開済みで、直ちの更新が必要です。
複数の処理を順番につないで自動で動かす「ワークフロー基盤」として広く使われている Conductor(コンダクター。旧Netflix Conductor) に、深刻な脆弱性が見つかりました。細工したワークフローの定義をサーバーに送りつけるだけで、ログインを通す前に、そのサーバー上で好きな命令を実行できてしまうという欠陥です。共通の脆弱性番号は CVE-2026-58138、深刻度は10点満点中 9.8(CVSS v3.1)と最高クラスです。米国の NVD(脆弱性データベース)に2026年6月30日付で登録されました。
いちばん危ないのは、攻撃にログインが要らない点です。本来なら認証を通った正規の利用者しか触れないはずの機能が、認証を通す前の段階で悪用できてしまいます。修正版の 3.30.2 はすでに公開されています。Conductor はオープンソースのソフトとして多くの企業のシステムの裏側で動いており、対象のバージョンを外部から触れる場所で動かしている組織は、いますぐ手を打つべき案件です。
| 項目 | 内容 |
|---|---|
| 脆弱性番号 | CVE-2026-58138 |
| 対象ソフト | Conductor(conductor-oss) 3.21.21以上〜3.30.2未満 |
| 深刻度(CVSS) | 9.8(v3.1)/9.3(v4.0)=最高クラス |
| 攻撃の前提 | ワークフローAPIに届くこと (ログイン不要・操作不要) |
| いま使える対策 | 修正版3.30.2へ更新する (暫定的にAPIを外部から閉じる) |
※「ワークフロー定義」は、どの処理をどの順番で実行するかを書いた設計図のようなものです。Conductor はこの設計図を受け取り、書かれたとおりに処理を進めます。
この脆弱性は誰に、どんな被害をもたらすのか
この穴を狙うのは、インターネット上に公開されたConductorのAPIを探し回る攻撃者です。APIとは、プログラム同士がやり取りするための窓口のこと。Conductor は他のシステムから処理を依頼されて動くため、このやり取りの窓口が外部からアクセスできる状態になっていることがあります。攻撃者は世界中のサーバーをスキャンし、Conductor が応答する公開窓口を見つけ次第ターゲットにします。今回の欠陥はログインを必要としないため、窓口にたどり着けたサーバーがそのまま標的になります。
攻撃者がやることは、命令を仕込んだワークフローの定義を、認証を通す前のAPIに送りつけるだけです。Conductor はワークフローの中に短いプログラム(計算式や条件分岐)を埋め込めるようになっており、本来は便利な機能です。ところがこの仕組みが安全に隔離されておらず、攻撃者が紛れ込ませた命令を、サーバーがそのまま実行してしまいます。一度命令が通れば、追加のプログラムを次々に送り込めます。
命令を自由に実行できれば、そのサーバーは乗っ取られたのと同じです。Conductor は業務の処理をまとめてさばく中枢に置かれることが多く、扱うデータや、つながっている他システムへの接続情報も集まりがちです。そこを押さえられると、データの抜き取り、別システムへの侵入の足がかり、身代金要求型ウイルス(ランサムウェア)の埋め込みまで一気に広がります。直接の標的はConductor を運用する企業ですが、最終的に影響を受けるのは、その先のサービスを使う一般の利用者です。自分の情報を預けた先の中枢が狙われる、という意味で運用者だけの問題では終わりません。
Conductorとは何か、なぜ多くの組織に関係するのか
Conductor は、たくさんの処理を「まずこれ、次にこれ」と順番や条件にそって自動で実行していくための土台となるソフト(ワークフローオーケストレーション基盤)です。もとは動画配信のNetflixが社内で開発・公開したもので、現在は Orkes という企業を中心としたコミュニティ(conductor-oss)が開発を引き継いでいます。注文処理、データの集計、AIの処理の連結など、複数の作業を確実につなぐ場面で使われ、大量の処理を安定してさばける点が評価されてきました。
特徴は、表からは見えないが、業務の流れの中心に置かれていることです。利用者が直接触れる画面ではなく、システムの裏側で処理をつなぐ「指揮者」の役割を担います。それだけに、ここを乗っ取られると影響は一つのサービスにとどまりません。なお Conductor では過去にも、同じくワークフローに埋め込んだプログラムが安全に隔離されず命令を実行できてしまう脆弱性(CVE-2025-26074)が報告されています。今回はその系譜にあたる新たな欠陥で、似た弱点が形を変えて残っていたことになります。
なぜ定義を送るだけで命令が実行されるのか
今回の欠陥は、専門的には「コードインジェクション」(CWE-94)と呼ばれる種類です。本来はデータとして扱うべき入力の中に命令を紛れ込ませ、プログラムにそれをうっかり実行させてしまう攻撃を指します。
Conductor のワークフローには、処理の途中で簡単な計算や条件判断を行うため、JavaScriptやPythonの短い式を埋め込める仕組みがあります。これらの式は GraalVM という実行エンジンで評価されますが、NVDの説明によると、この評価が安全に隔離(サンドボックス化)されていませんでした。そのため、式の中からプログラミング言語の深い機能(Javaのリフレクションや、別プログラムを起動する呼び出し)に手が届き、最終的にサーバーのOSに対する命令まで実行できてしまいます。具体的には、INLINE・LAMBDA・DO_WHILE・SWITCHといった種類のタスクで、埋め込んだ式が悪用される経路が確認されています。
さらに問題なのは、この悪用が認証を通す前(pre-auth)に成立する点です。攻撃者は正規のアカウントを用意する必要すらなく、ワークフローを受け付けるAPIに細工した定義を送るだけで条件が整います。だからこそ深刻度は最高クラスの9.8と評価されています。同じ「業務を自動でつなぐ基盤が、認証なしで乗っ取られる」構図は、別製品でも起きています。当サイトで以前取り上げたKestraの脆弱性(CVE-2026-53576)も、認証前に深刻な操作を許してしまうという同じ弱点でした。こうした基盤は便利さと引き換えに強い権限を持つため、入り口の守りが甘いと被害が大きくなりやすい、という共通点があります。
自分のサーバーは危ないのか、状況別の早見表
危険度は「使っているバージョンが対象に入るか」と「ワークフローAPIを外部から触れる状態にしているか」で大きく変わります。自社の状況に当てはめて確認してください。
| あなたの状況 | 危険度 | いますべきこと |
|---|---|---|
| 対象版を使い、APIを インターネットに公開している | 最も危険 (無認証で乗っ取られ得る) | 直ちに3.30.2へ更新。即時が 無理なら外部公開を止める |
| 対象版だが社内ネット内 だけで使っている | 高 (内部の侵入者・踏み台で悪用可) | 早急に更新。接続元の 制限も併用する |
| Conductorを使っているか 把握していない | 不明=要確認 (裏側で動いていることが多い) | まず棚卸し。稼働状況と バージョンを確認する |
| すでに3.30.2以降を 適用済み | 低 (今回の欠陥は修正済み) | 痕跡の確認と、今後の 更新運用の継続 |
※対象は Conductor(conductor-oss)3.21.21以上〜3.30.2未満です。自分のバージョンは稼働中のConductorの情報から確認できます。Orkesが提供する商用版を使っている場合は、提供元の案内もあわせて確認してください。
いま何をすべきか
最優先は、修正版である Conductor 3.30.2 以降へ直ちに更新することです。今回の欠陥はこのバージョンで修正されています。conductor-oss の公開ページから最新版を入手し、適用してください。認証なしで乗っ取れる脆弱性は公開直後から自動的に狙われやすいため、「次の定期メンテナンスで」ではなく、いますぐ動くべき案件です。
すぐに更新できない事情がある場合は、当面の応急策としてワークフローを受け付けるAPIをインターネットから直接触れない状態にすることを検討してください。外部に公開する必要がなければ社内ネットワークに閉じる、必要な場合も接続元を絞る、手前に防御の仕組みを置く、といった対応で攻撃の入り口を狭められます。とりわけ、外部の信頼できない相手からワークフロー定義を受け取る使い方をしている場合は、その経路を一時的に止めることも検討に値します。
あわせて、すでに侵入されていないかの確認も行ってください。身に覚えのないワークフローが登録されていないか、不審なプロセスの起動や外部への通信がないか、ログを点検します。Conductor は過去にも同種の脆弱性が報告されており、攻撃者にとっては手口の蓄積がある対象です。今回もいずれ悪用が広がる前提で備えるのが安全です。なお本記事の時点で、この脆弱性が実際の攻撃に使われたという公的な報告(米政府機関CISAの実際に攻撃された脆弱性リスト(KEV)への登録など)は確認していませんが、状況は変わりうるため公式情報を随時確認してください。
よくある質問
うちはConductorを使っていないと思うのですが、関係ありますか?
直接は関係ありません。ただしConductorは利用者が直接触れない裏方の基盤として使われることが多く、「自社のシステムで動いていると気づいていなかった」というケースがあり得ます。社内で動いているシステムの棚卸しを行い、Conductor(旧Netflix Conductor)が使われていないかを一度確認しておくと安心です。利用しているサービスの提供元が使っている可能性もあります。
どのバージョンが危なく、どれに上げればいいですか?
NVDの登録によると、対象はConductor(conductor-oss)の3.21.21以上〜3.30.2未満です。修正版は3.30.2で、これ以降に更新すれば今回の欠陥は解消されます。自分のバージョンは稼働中のConductorの情報から確認できます。Orkesの商用版を使っている場合は、提供元の案内にしたがって更新してください。
すぐに更新できません。どうすればいいですか?
当面は、ワークフローを受け付けるAPIをインターネットから直接触れない状態にしてください。外部公開が不要なら社内ネットワークに閉じ、必要な場合も接続元を絞ります。外部の信頼できない相手からワークフロー定義を受け取る経路は、一時的に止めることも検討してください。そのうえで、すでに不審なワークフローが登録されていないかも点検し、できるだけ早く3.30.2以降へ更新してください。
すでに攻撃に悪用されていますか?
本記事の時点で、この脆弱性が実際の攻撃に使われたという公的な報告(CISAのKEVへの登録など)は確認していません。ただしConductorは過去にも同種の脆弱性が報告されており、認証なしで乗っ取れる欠陥は公開直後から狙われやすい傾向があります。悪用が広がる前に更新を済ませるのが安全です。状況は変わりうるため、公式情報を随時確認してください。
まとめ
CVE-2026-58138 は、業務の処理を自動でつなぐ基盤 Conductor が、ワークフローに埋め込まれたプログラムを安全に隔離できておらず、しかも認証を通す前に悪用できてしまう脆弱性です。攻撃者は細工したワークフロー定義をAPIに送るだけで、ログインなしにサーバー上で任意の命令を実行でき、データの抜き取りや別システムへの侵入の足がかりにされる恐れがあります。深刻度は最高クラスの9.8です。
対策ははっきりしています。修正版のConductor 3.30.2以降へ直ちに更新すること。すぐに無理なら、当面はワークフローAPIを外部から触れない状態にして時間を稼ぎ、すでに侵入されていないかも点検してください。業務の中枢を担う基盤ほど、「動いているから大丈夫」ではなく、いま手を動かすことが被害を防ぎます。
更新履歴
- ▸2026年7月1日:初版公開(2026年6月30日付のNVD登録、conductor-ossの修正版3.30.2公開を受けて作成)。
参照元
堀川 慎
Backend Engineer / AWS / Django / Go