AIの学習データ基盤Feastに認証なしでサーバー乗っ取りの脆弱性、CVE-2026-56121、v0.63.0へ更新を
AIや機械学習の開発でデータを管理する基盤『Feast』に、認証なしでサーバーを乗っ取られる脆弱性が見つかりました。CVE-2026-56121、深刻度は最高クラスのCVSS9.8。バージョン0.63.0より前が対象で、外部から細工した通信を一度送るだけで、Feastを動かすサーバー上で任意のプログラムを実行される恐れがあります。すぐに0.63.0へ更新してください。
堀川 慎
Backend Engineer / AWS / Django / Go
AIや機械学習の開発でデータを管理する基盤『Feast』に、認証なしでサーバーを乗っ取られる脆弱性が見つかりました。CVE-2026-56121、深刻度は最高クラスのCVSS9.8。バージョン0.63.0より前が対象で、外部から細工した通信を一度送るだけで、Feastを動かすサーバー上で任意のプログラムを実行される恐れがあります。すぐに0.63.0へ更新してください。
AIや機械学習の開発で使うデータ基盤「Feast(フィースト)」に、外部から本人確認(認証)なしでサーバーを乗っ取られる脆弱性(プログラムの欠陥)が見つかりました。CVE-2026-56121、深刻度は10点満点中ほぼ最高の9.8(緊急)です。
対象はバージョン0.63.0より前。発見・報告したのは米セキュリティ企業VulnCheckで、2026年6月24日に公開されました。修正は0.63.0に含まれています。Feastの一部機能をネットワークに公開している場合、攻撃者が細工した通信を一度送るだけで、Feastが動いているサーバー上で任意のプログラムを実行できてしまう恐れがあるため、すぐに更新が必要です。
Feastとは何のツールか
Feastは、機械学習のモデルが使うデータ項目(特徴量)を一元管理して配るためのオープンソースの基盤です。「特徴量ストア(feature store)」と呼ばれる種類のソフトで、たとえば不正検知や商品レコメンド、与信スコアリングのようなAIシステムで、学習時と本番運用時に同じデータを食い違いなく取り出せるようにする役割を担います。
利用者の幅は広く、公式サイトによるとRobinhood、NVIDIA、Discord、Cloudflare、Walmart、Shopify、Salesforce、IBM、Capital Oneなどが採用し、ダウンロードは累計1,200万回を超えます。GitHubのスター数は7,100超で、機械学習基盤(MLOps)の定番ツールのひとつです。
今回の欠陥は、Feastが持つ「レジストリ(台帳)サーバー」という部分にあります。Feastは特徴量の定義をまとめた台帳(レジストリ)を持っており、複数のチームやプログラムからこの台帳を共有して使えるよう、gRPC(ジーアールピーシー)という通信方式でネットワーク越しに提供するサーバー機能を備えています。この共有用サーバーの通信処理に、危険な穴がありました。
誰が狙い、何をされ、どうなるのか
まず前提として、この欠陥が危ないのはFeastのレジストリサーバーを、認証をかけずにネットワーク(社内LANやクラウド内、まして外部)へ公開している運用です。機械学習の基盤は社内ネットワークの奥に置かれることが多い一方、チーム間共有のためにアクセスを広げているケースや、クラウド上で他のサービスと同じネットワークに同居しているケースは珍しくありません。
そこを狙う攻撃者がすることは、悪意あるプログラムを仕込んだ通信をレジストリサーバーへ送りつけ、本人確認を一切受けないまま、そのサーバー上で自分のプログラムを実行させることです。ログインも鍵も不要で、サーバーに通信が届く位置にいれば成立してしまう点が、深刻度を最高クラスに押し上げています。
サーバーを乗っ取られると、被害はFeast本体にとどまりません。機械学習基盤には、学習用のデータ、本番に出すモデル、外部サービスへの接続情報(データベースやクラウドの認証情報)が集まりがちです。攻撃者はそこを足がかりに、データの抜き取り、モデルの改ざん(不正な予測をさせる土台づくり)、さらに社内ネットワークの奥への侵入へと進む恐れがあります。
このように外部から取り込んだデータを安全に展開できないまま動かす危険は、開発で使う外部部品の管理という観点ともつながります。取り込むパッケージやサービスの点検はOSS サプライチェーン スキャナーの考え方とあわせて見直す価値があります。また、実際に攻撃へ使われ始めた脆弱性は米政府機関CISAの「実際に攻撃されている脆弱性リスト」に載ることがあり、日本語で追える一覧はCISA KEV ダッシュボード(日本語版)にまとめています。
脆弱性の中身
原因は、ネットワーク越しに受け取ったデータを無防備に「復元」してしまう点にあります。プログラムの世界では、データをいったん文字列の形に固めて送り、受け取った側で元の形に戻す処理(デシリアライズ)がよく使われます。この「戻す」処理に、送られてきた中身を信用しすぎる実装があると、攻撃者が細工した中身を使って任意のプログラムを実行できてしまいます。
CVE-2026-56121:レジストリサーバーの無防備な復元処理で任意実行(CVSS 9.8)
VulnCheckの分析によると、Feastのレジストリサーバーは、gRPCで送られてきたデータをbase64という方式で符号化された状態から取り出し、Pythonの「dill」というライブラリで復元していました。問題は、この復元処理の前に本人確認(認可チェック)が一切なかったことです。
dillのようなPythonのデシリアライズはもともとRCE(任意のプログラム実行)に悪用されやすく、攻撃者は__reduce__(リデュース)という仕組みを仕込んだ細工データを送ることで、復元された瞬間に好きなコマンドを走らせられます。実行はFeastサービスの権限で行われるため、そのサーバーが触れる範囲のデータや認証情報まで攻撃者の手が届きます。要するに、認証なしの相手が一度の通信でサーバーを乗っ取れる、もっとも危険なタイプの欠陥です。
修正版の0.63.0では、この復元処理が見直され、信頼できない入力をそのまま実行しないように改められています。なお本件はバグ報奨金プラットフォームHuntr経由でVulnCheckが報告し、CVSSは評価方式3.1で9.8、新しい4.0で9.3とされています。
自分が対象かどうかの早見表
影響を受けるのは0.63.0より前のバージョンで、レジストリサーバーをネットワークに公開している場合にとくに危険です。使っているバージョンは、Feastを入れた環境でfeast versionやpip show feastで確認できます。
| 使っている バージョン | レジストリサーバーを 公開している | やること |
|---|---|---|
| 0.63.0 より前 | 公開している | 最優先で 0.63.0へ更新 |
| 0.63.0 より前 | 公開していない (ローカルのみ) | 早めに更新。 公開予定なら更新後に |
| 0.63.0 以降 | ― | 対応不要 |
レジストリサーバーを使わず、手元(ローカル)のファイルだけで運用している場合は、外部から通信が届かないため危険度は下がります。ただし社内の別の端末から到達できる構成や、将来サーバー公開に切り替える可能性を考えると、いずれにせよ0.63.0以降への更新をおすすめします。
いま取るべき対策
最優先は、Feastを0.63.0以降へ更新することです。Pythonのパッケージとして配布されているため、pip install --upgrade feastなどで更新できます。配布ページで最新版を確認してください。
すぐに更新できない場合は、レジストリサーバーを不特定の相手から触れない位置に隔離することが当面の緩和策になります。具体的には、ネットワークの接続元を信頼できる範囲に絞る、外部公開していたなら一度止める、前段に認証の仕組みを置く、といった対応です。あわせて、身に覚えのないプロセスや通信、見慣れない管理者アカウントが増えていないかを点検してください。万一すでに乗っ取られていた場合に備え、Feastサーバーが保持していたデータベースやクラウドの認証情報は、更新後に入れ替えておくのが安全です。
まとめ
FeastのCVE-2026-56121は、レジストリサーバーが受け取ったデータを認証なしで無防備に復元してしまい、外部から任意のプログラムを実行されてしまう脆弱性です。深刻度はCVSS 9.8とほぼ最高クラスで、対象は0.63.0より前、最新の0.63.0で修正済みです。
Feastのような機械学習基盤は、学習データやモデル、外部サービスへの認証情報が集まる要所です。乗っ取られると被害が周辺へ広がりやすいだけに、放置のリスクは小さくありません。レジストリサーバーを公開しているなら最優先で、そうでなくても早めに0.63.0以降へ更新してください。Feastに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。