ログ収集ソフト「Fluentd」に認証不要で乗っ取り可能な脆弱性 CVE-2026-44024、v1.19.3へ即更新を
サーバーのログを集めるオープンソースソフト「Fluentd」に、認証なしで乗っ取りにつながる脆弱性(CVE-2026-44024、最大CVSS9.8)が見つかりました。ログの送り元を細工するだけで任意のファイルを書き換えられます。情報漏えいやサービス停止を含む計6件が判明。本体はv1.19.3で修正、早急に更新を。
目次
サーバーのログを集めるオープンソースソフト「Fluentd」に、認証なしで乗っ取りにつながる脆弱性(CVE-2026-44024、最大CVSS9.8)が見つかりました。ログの送り元を細工するだけで任意のファイルを書き換えられます。情報漏えいやサービス停止を含む計6件が判明。本体はv1.19.3で修正、早急に更新を。
サーバーやアプリが吐き出す大量の記録(ログ)を集めて回す定番のオープンソースソフト「Fluentd(フルエントディー)」に、深刻な脆弱性が見つかりました。最も重いものは、ログの送り元を細工するだけで、認証なしにサーバー上の任意のファイルを書き換え、最終的に遠隔操作(任意コード実行)まで到達できる欠陥です。共通脆弱性番号は CVE-2026-44024、深刻度は最大のCVSS 9.8(10点満点)。開発元は2026年6月26日に修正版を公開し、国内では6月29日に JVN(JVN#36011274) が注意を呼びかけています。
公表されたのはこの1件だけではありません。設定ファイルの中身を外部から読み取られる情報漏えい、サービスを止めるDoS(サービス妨害)、外部の不正なサーバーへ通信させられるSSRFなど、あわせて6件の脆弱性がまとめて修正されました。Fluentdはコンテナ基盤Kubernetesのログ収集などにも広く使われ、クラウドネイティブ技術を束ねる CNCF(Cloud Native Computing Foundation)の「卒業」プロジェクトに位置づけられる中核ソフトです。利用範囲が広いぶん、影響も広がりかねません。
| 脆弱性番号 | 種類 | 何が起きるか | CVSS |
|---|---|---|---|
| CVE-2026-44024 | パストラバーサル | 任意ファイル書き換え →遠隔操作(RCE) | 9.8 |
| CVE-2026-44025 | 認証の欠如 | 設定内の機微情報を API経由で読み取り | 7.5 |
| CVE-2026-44160 | 不適切な解凍処理 | 解凍爆弾による サービス停止(DoS) | 7.5 |
| CVE-2026-44161 | SSRF | 不正なサーバーへの 通信転送・DoS | 7.2 |
| CVE-2026-44163 | 不適切な解凍処理 | 大きなデータによる サービス停止(DoS) | 5.3 |
| CVE-2026-44162 | 不適切な解凍処理 | サービス停止(DoS) ※管理権限が必要 | 2.7 |
※CVSSはいずれもNVD(CVSS v3.1)基準の値。JVNが採用するCVSS v4.0では一部スコアが異なります(CVE-2026-44024は9.3)。
この欠陥は誰に、どんな被害をもたらすのか
最も警戒すべきCVE-2026-44024が刺さるのは、Fluentdが外部や、社内でも完全には信頼しきれない経路からログを受け取る設定にしていて、そこへ細工したログを送り込める攻撃者です。たとえば、インターネットに面した受け口でログを集めている、複数の利用者やアプリが同じFluentdへログをまとめているSaaSのような構成では、攻撃者は正規の利用者を装ってログを流し込めます。ログイン(認証)は必要ありません。
その相手は、ログに付ける「タグ」へ ../ のような文字を混ぜ込み、Fluentdが本来書き込まないはずのシステム領域へファイルを書き換えます。Fluentdはタグの値を使って保存先のファイルパスを組み立てる機能を持っており、ここの確認が甘いと、設定ファイルや定期実行の仕組みを上書きされ、そこからサーバーを乗っ取られます。開発元は、実際にこの欠陥が任意コード実行(攻撃者が送り込んだプログラムをサーバー上で動かすこと)に直結すると説明しています。
被害の本質は、ログ基盤が「監視する側」から「侵入の入口」に変わることです。ログ収集サーバーは、複数のシステムから情報が集まる結節点であり、ここを握られると、保存されていたログに含まれる認証情報の窃取、そこを足がかりにした他システムへの横移動、ログの改ざんによる痕跡消しまで起こり得ます。残りの5件も、設定ファイルに書いたパスワードやトークンの漏えい(CVE-2026-44025)、Fluentd自体を停止させてログを止めるDoS(CVE-2026-44160ほか)など、運用の根幹を揺らすものばかりです。Fluentdはアプリのソースコードに直接現れない「土台」のソフトであり、こうした基盤の弱点はサプライチェーン全体に影を落とします。当サイトのOSSサプライチェーン スキャナーでも、依存しているソフトの脆弱性をまとめて点検する重要性を取り上げています。
Fluentdとは何か
Fluentdは、サーバー・アプリ・ネットワーク機器などがばらばらの形式で出力するログを、ひとつの統一した流れに整えて、保存先(ファイル、Amazon S3、検索基盤、監視サービスなど)へ振り分ける「ログの集配センター」のようなオープンソースソフトです。2011年に日本のTreasure Data社で生まれ、現在はクリアコードなどが開発を支えています。入出力を「プラグイン」で柔軟に追加できるのが特徴で、数百種類のプラグインが公開されています。
採用は国内外で広く、Kubernetes環境のログ収集の定番として使われ、軽量版の「Fluent Bit」と合わせて巨大なシェアを持ちます。今回の脆弱性は、本体のFluentdだけでなく、保存先プラグインの fluent-plugin-s3 や fluent-plugin-opentelemetry、配布パッケージの fluent-package にも及びます。自分の環境で「どれを」「どのバージョンで」使っているかの棚卸しが、最初の一歩になります。
6件の脆弱性、それぞれの中身
CVE-2026-44024:タグ経由のファイル書き換えから遠隔操作(最重要・CVSS 9.8)
今回の中心です。Fluentdはログに付く「タグ」の値を使って、保存先のファイルパスを動的に組み立てられます(${tag} プレースホルダ)。ここで ../ などの経路をさかのぼる文字の検証が不十分なため、攻撃者が任意の場所へファイルを書き込み・上書きでき、結果としてリモートコード実行(RCE)に直結します。認証は不要で、out_file プラグインなどで ${tag} を使い、かつ信頼できない送り元からログを受けている構成が危険です。報告は everping 氏。Fluentd 1.19.3 で修正されました。
CVE-2026-44025:監視APIから設定の機微情報が漏れる(CVSS 7.5)
Fluentdの状態を確認する監視用API(モニタエージェント)に適切な認証がなく、API経由で設定ファイルに含まれる機微な情報(接続先の資格情報など)を読み取られる恐れがあります。設定にパスワードやトークンを直書きしている場合に被害が大きくなります。
CVE-2026-44161:プラグイン経由で外部へ通信させられるSSRF(CVSS 7.2)
プレースホルダの展開を悪用し、本来許可されていないサーバーへFluentdからリクエストを送らせる(SSRF)、またはDoSを引き起こす欠陥です。fluent-plugin-opentelemetry が対象で、0.5.3 で修正されています。クラウド内部のメタデータ取得など、外部から直接は触れない領域への踏み台にされる点が問題です。
CVE-2026-44160 / 44163 / 44162:解凍処理を突くサービス停止(DoS)
圧縮データの展開処理の不備を突き、Fluentdを過負荷で停止させる3件です。CVE-2026-44160は「解凍爆弾」(小さな圧縮データが展開時に膨大なサイズになる手口)によるDoS(CVSS 7.5)、CVE-2026-44163は大きなペイロードによるDoS(CVSS 5.3)、CVE-2026-44162は管理権限が前提のDoS(CVSS 2.7)です。ログが止まれば監視も止まり、別の攻撃に気づけなくなる二次被害につながります。これらは本体のFluentdおよび fluent-plugin-s3(1.8.5 で修正)に関係します。
影響を受けるバージョンと修正版(早見表)
| コンポーネント | 影響を受ける版 | 修正版 |
|---|---|---|
| Fluentd(本体) | 1.19.2 以前 | 1.19.3 |
| fluent-plugin-s3 | 1.8.5 未満 | 1.8.5 |
| fluent-plugin-opentelemetry | 0.5.3 未満 | 0.5.3 |
| fluent-package(LTS) | 6.0.3 以前 | 最新版へ更新 |
| fluent-package(通常版) | 5.2.0 / 6.0.0 以前 | 最新版へ更新 |
※対象・修正版の正確な範囲は JVN#36011274 と各GitHub Security Advisoryを確認してください。fluent-packageは本体・プラグインを同梱するため、まとめて更新するのが安全です。
いま何をすべきか
最優先は修正版への更新です。本体は Fluentd 1.19.3 へ、プラグインは fluent-plugin-s3 を 1.8.5 へ、fluent-plugin-opentelemetry を 0.5.3 へ上げます。配布パッケージ(fluent-package)で運用している場合は、本体とプラグインがまとめて入っているため、パッケージごと最新へ更新するのが確実です。
すぐに更新できない場合の当面の回避策として、開発元は次を挙げています。インターネットや信頼できない経路からの受信をファイアウォールで絞る、Fluentdをroot以外の権限で動かす(被害範囲を狭める)、保存先パスに ${tag} を使うのを避ける、受け取るタグを検査して . や / を含むものを拒否する、の4点です。あわせて、設定ファイルに資格情報を直書きしている場合は環境変数や秘密管理の仕組みへ移し、監視APIを外部から触れない場所に閉じておくと、情報漏えい系のCVE-2026-44025への備えにもなります。
組織で多数のサーバーにFluentdやFluent系パッケージを展開している場合は、まずどのホストがどのバージョンを使っているかを一覧化し、外部からログを受けている入り口の構成を優先して塞ぐとよいでしょう。
まとめ
Fluentdで修正された6件のうち、CVE-2026-44024はログのタグを細工するだけで認証なしにファイルを書き換え、サーバーの乗っ取りまで到達できる深刻な欠陥です。ログ収集という「縁の下」の仕組みが侵入口になり得る点で、軽視はできません。本体は1.19.3、プラグインやパッケージも各修正版が出ているので、まずは自分の環境の棚卸しと更新が要点です。
広く使われる基盤ソフトほど、一つの穴の影響範囲は大きくなります。普段は意識しないログ基盤こそ、バージョン管理と権限の絞り込みを見直す機会にしたいところです。
よくある質問
Fluentdを使っていますが、必ず危険なのですか?
最も重いCVE-2026-44024は、信頼できない経路からログを受け取り、かつ保存先パスに ${tag} を使っている構成で特に危険です。ただし他にも情報漏えいやDoSの脆弱性が含まれるため、構成にかかわらず修正版(本体は1.19.3)への更新を推奨します。
どのバージョンに上げればよいですか?
本体はFluentd 1.19.3、fluent-plugin-s3は1.8.5、fluent-plugin-opentelemetryは0.5.3です。fluent-packageで運用している場合は最新版へまとめて更新してください。
すぐに更新できません。当面できることは?
信頼できない経路からの受信をファイアウォールで制限する、Fluentdをroot以外で動かす、保存先パスでの ${tag} 使用を避ける、. や / を含むタグを拒否する、という回避策が開発元から案内されています。
すでに悪用されていますか?
本記事の時点で、実際に攻撃に使われたという公的な報告(米CISAのKEV登録など)は確認していません。ただし実証は容易とされ、深刻度も高いため、悪用が始まる前の早期更新が重要です。
更新履歴
- ▸2026年6月29日:初版公開(6月26日のGitHub Security Advisory各件、6月29日のJVN#36011274を受けて作成)。
参照元
堀川 慎
Backend Engineer / AWS / Django / Go