IBM Db2に認証前の乗っ取り脆弱性 CVE-2026-10109、基幹DBは即更新を
銀行や官公庁の基幹システムを支える企業向けデータベースIBM Db2に、ログイン前の通信を悪用してサーバーを乗っ取れる脆弱性(CVE-2026-10109)が見つかりました。認証情報を入れる前の接続のやり取りに細工するだけで任意の命令を実行されます。深刻度は最高クラスの9.8。IBMは修正用の特別ビルドを公開済みで、直ちの適用が必要です。
目次
銀行や官公庁の基幹システムを支える企業向けデータベースIBM Db2に、ログイン前の通信を悪用してサーバーを乗っ取れる脆弱性(CVE-2026-10109)が見つかりました。認証情報を入れる前の接続のやり取りに細工するだけで任意の命令を実行されます。深刻度は最高クラスの9.8。IBMは修正用の特別ビルドを公開済みで、直ちの適用が必要です。
銀行や官公庁、大企業の基幹システムを長年支えてきた企業向けデータベース IBM Db2(ディービーツー) に、深刻な脆弱性が見つかりました。ログイン情報を入力する前の通信のやり取りを悪用するだけで、認証を通さずにサーバーを乗っ取れるという欠陥です。共通の脆弱性番号は CVE-2026-10109、深刻度は10点満点中 9.8(CVSS v3.1)と最高クラスです。IBMは2026年6月30日付でセキュリティ情報を公開しました。
いちばん危ないのは、攻撃にログインが要らない(認証前=pre-auth)点です。正規の利用者だけが触れるはずの機能ではなく、まだ認証を通していない接続の入り口そのものが狙われます。データベースは企業のもっとも重要な情報が集まる場所であり、ここを認証なしで乗っ取られるのは最悪に近い事態です。IBMは修正用の特別な更新(特別ビルド)をすでに配布しており、対象バージョンを使っている組織はいますぐ手を打つべき案件です。
| 項目 | 内容 |
|---|---|
| 脆弱性番号 | CVE-2026-10109 |
| 対象ソフト | IBM Db2(Linux/UNIX/Windows版) 11.5.0〜11.5.9 / 12.1.0〜12.1.4 |
| 深刻度(CVSS) | 9.8(v3.1)=最高クラス |
| 攻撃の前提 | Db2の接続ポートに届くこと (ログイン不要・操作不要) |
| いま使える対策 | IBM配布の特別ビルドを適用する (暫定的に接続ポートを外部から閉じる) |
※「認証前(pre-auth)」とは、利用者名やパスワードを確認する前の段階のことです。本来そこは「玄関の前」にあたり、攻撃を受けても中には入れないはずの場所ですが、今回はその玄関の前で乗っ取りが成立してしまいます。
この脆弱性は誰に、どんな被害をもたらすのか
この穴を狙うのは、ネットワーク越しにDb2の接続ポートを探し回る攻撃者です。データベースは他のシステムから接続を受けて応答するため、その接続の窓口(ポート)が開いています。攻撃者は世界中のサーバーをスキャンし、Db2が応答するポートを見つけ次第ターゲットにします。今回の欠陥はログインを必要としないため、ポートにたどり着けたサーバーがそのまま標的になります。社内ネットワーク内に置いているつもりでも、設定の行き違いや別システムの侵害を踏み台に、外から届いてしまうことがあります。
攻撃者がやることは、認証を通す前の「接続条件のやり取り」に細工した通信を送り込み、その処理の隙をついてサーバー上で命令を実行することです。Db2はクライアントとつながる際、まず通信のやり方をすり合わせる手順を踏みます。この最初のやり取りに不備があり、本来データとして扱うべき内容に紛れ込ませた命令を、サーバーが実行してしまいます。ログインを試す前の段階なので、正規のアカウントを持っていない相手でも攻撃が成立します。
命令を自由に実行できれば、そのサーバーは乗っ取られたのと同じです。データベースには顧客情報、取引記録、認証情報など、組織にとって最も重要なデータが集まっています。これらを丸ごと抜き取られる、内容を改ざんされる、暗号化して使えなくされる(身代金要求型ウイルス)、別システムへの侵入の足がかりにされる、といった被害に直結します。直接の標的はDb2を運用する企業や官公庁ですが、最終的に影響を受けるのは、そこに個人情報を預けている一般の利用者です。預け先の金庫そのものが狙われる、という意味で運用者だけの問題では終わりません。
IBM Db2とは何か、なぜ多くの組織に関係するのか
IBM Db2 は、大量のデータを安全かつ高速に保管・処理するための企業向けデータベース管理システムです。1983年から続く歴史の長い製品で、特に銀行・保険・証券などの金融機関や、官公庁、大企業の基幹システムで広く使われてきました。一日に何百万件もの取引を止めずにさばく信頼性が評価され、「絶対に止められない」種類のシステムの土台を担っていることが多い製品です。
こうした基幹データベースは、表からは見えないが、業務の心臓部に置かれているのが特徴です。利用者が直接触れる画面ではなく、その裏で全データを抱えています。それだけに、止めずに動かし続けることが優先され、更新(パッチ適用)が後回しにされがちです。「動いているから触りたくない」という事情が、結果的に古い脆弱性を抱えたまま放置する原因になります。今回のような認証前の乗っ取りは、まさにその放置されたデータベースを直撃するため、運用の現場では「止めてでも当てるべきか」という難しい判断を迫られます。
なぜ接続する前に乗っ取られるのか
今回の欠陥は、専門的には「コードインジェクション」(CWE-94)と呼ばれる種類です。本来はデータとして扱うべき入力の中に命令を紛れ込ませ、プログラムにそれをうっかり実行させてしまう攻撃を指します。
Db2はクライアント(接続してくる側)とやり取りするとき、DRDAという決まりごと(プロトコル)を使います。DRDAは「分散リレーショナルデータベースアーキテクチャ」の略で、離れた場所にあるプログラムとデータベースが会話するための共通ルールです。接続のはじめに、お互いの通信のやり方や条件をすり合わせる「ハンドシェイク」と呼ばれる手順を踏みますが、IBMの説明によると、この認証前のハンドシェイクで接続条件を処理する部分に不備がありました。そのため、攻撃者が条件のやり取りに命令を紛れ込ませると、Db2がそれを実行してしまいます。
問題の深さは、この悪用がログインを試す前(pre-auth)に成立する点にあります。攻撃者は正規のIDやパスワードを用意する必要すらなく、Db2のポートに接続してハンドシェイクを始められれば条件が整います。だからこそ深刻度は最高クラスの9.8と評価されています。ドイツの技術メディアheiseも、この「クライアントとの最初の握手」を突く危険性を取り上げています。
自分のサーバーは危ないのか、状況別の早見表
危険度は「使っているバージョンが対象に入るか」と「Db2の接続ポートにどこから届くか」で大きく変わります。自社の状況に当てはめて確認してください。
| あなたの状況 | 危険度 | いますべきこと |
|---|---|---|
| 対象版を使い、接続ポートが インターネットに届く | 最も危険 (無認証で乗っ取られ得る) | 直ちに特別ビルドを適用。 即時が無理なら外部接続を遮断 |
| 対象版だが社内ネット内 だけで使っている | 高 (内部の侵入者・踏み台で悪用可) | 早急に適用。接続元の 制限も併用する |
| Db2を使っているか 把握していない | 不明=要確認 (基幹の裏側で動くことが多い) | まず棚卸し。製品と バージョンを確認する |
| すでに特別ビルドを 適用済み | 低 (今回の欠陥は修正済み) | 痕跡の確認と、今後の 更新運用の継続 |
※対象は IBM Db2(Linux/UNIX/Windows版)11.5.0〜11.5.9 と 12.1.0〜12.1.4 です。IBMは修正を反映した特別ビルドをFix Centralで配布しており、対象の各レベルに適用できます。クラウドの提供版やほかのIBM製品に同梱されたDb2を使っている場合は、提供元の案内もあわせて確認してください。
いま何をすべきか
最優先は、IBMが配布している修正用の特別ビルドを適用することです。今回の欠陥はこの更新で修正されます。IBMのセキュリティ情報に従い、Fix Centralから自社のバージョンに合う特別ビルドを入手して適用してください。認証なしで乗っ取れる脆弱性は公開直後から自動的に狙われやすいため、「次の定期メンテナンスで」ではなく、いますぐ動くべき案件です。
基幹データベースゆえに「すぐ止められない」事情がある場合は、当面の応急策としてDb2の接続ポートを外部から触れない状態にすることを検討してください。インターネットに直接さらさない、接続できる端末やネットワークを必要最小限に絞る、ファイアウォールで接続元を限定する、といった対応で攻撃の入り口を狭められます。攻撃はDb2のポートに到達できることが前提なので、到達経路を断つだけでもリスクは大きく下げられます。
あわせて、すでに侵入されていないかの確認も行ってください。身に覚えのないプロセスの起動、外部への不審な通信、データベースサーバー上の見慣れないファイルなどがないかを点検します。本記事の時点で、この脆弱性が実際の攻撃に使われたという公的な報告(米政府機関CISAの実際に攻撃された脆弱性リスト(KEV)への登録など)は確認していませんが、基幹データベースは攻撃者にとって価値が高く、悪用が広がる前提で備えるのが安全です。状況は変わりうるため、公式情報を随時確認してください。
よくある質問
うちはDb2を使っていないと思うのですが、関係ありますか?
直接は関係ありません。ただしDb2は利用者が直接触れない基幹の裏側で使われることが多く、「自社のどこかで動いていると気づいていなかった」というケースがあり得ます。社内システムの棚卸しを行い、Db2が使われていないかを一度確認しておくと安心です。また、ほかのIBM製品の内部にDb2が同梱されていることもあるため、利用している製品の構成も確認してください。
どのバージョンが危なく、どう直せばいいですか?
対象はIBM Db2(Linux/UNIX/Windows版)の11.5.0〜11.5.9と12.1.0〜12.1.4です。IBMはこの欠陥を修正した特別ビルドをFix Centralで配布しており、対象の各レベルに適用できます。自分のバージョンはDb2の管理コマンドなどで確認できます。クラウドの提供版や、他のIBM製品に組み込まれたDb2を使っている場合は、提供元の案内に従って更新してください。
すぐに止められません。どうすればいいですか?
当面は、Db2の接続ポートを外部から触れない状態にしてください。インターネットに直接さらさず、接続できるネットワークや端末を必要最小限に絞り、ファイアウォールで接続元を限定します。今回の攻撃はDb2のポートに到達できることが前提なので、到達経路を断つだけでもリスクを大きく下げられます。そのうえで、計画的に停止できるタイミングで特別ビルドを適用してください。
すでに攻撃に悪用されていますか?
本記事の時点で、この脆弱性が実際の攻撃に使われたという公的な報告(CISAのKEVへの登録など)は確認していません。ただし基幹データベースは攻撃者にとって価値が高く、認証なしで乗っ取れる欠陥は公開直後から狙われやすい傾向があります。悪用が広がる前に修正を済ませるのが安全です。状況は変わりうるため、公式情報を随時確認してください。
まとめ
CVE-2026-10109 は、企業の基幹データベース IBM Db2 が、クライアントとの最初の接続のやり取り(DRDAのハンドシェイク)を安全に処理できておらず、しかもログインを試す前に悪用できてしまう脆弱性です。攻撃者はDb2のポートに接続し、認証前のやり取りに細工するだけで、サーバー上で任意の命令を実行できます。データベースには組織で最も重要な情報が集まるだけに、乗っ取られたときの被害は計り知れません。深刻度は最高クラスの9.8です。
対策ははっきりしています。IBMが配布する修正用の特別ビルドを直ちに適用すること。すぐに止められないなら、当面はDb2の接続ポートを外部から触れない状態にして時間を稼ぎ、すでに侵入されていないかも点検してください。「止められないから後回し」がいちばん危険です。基幹の心臓部だからこそ、いま手を動かすことが被害を防ぎます。
更新履歴
- ▸2026年7月1日:初版公開(2026年6月30日付のNVD登録・IBMセキュリティ情報を受けて作成)。
参照元
- ・IBM — Security Bulletin: IBM Db2 is vulnerable to remote code execution due to improper pre-auth DRDA handshake handling (CVE-2026-10109)
- ・NVD — CVE-2026-10109
- ・IBM — Published Security Vulnerabilities for Db2(特別ビルド情報)
- ・heise online — Critical Client Handshake Vulnerability Threatens IBM Db2
- ・MITRE — CWE-94(コードインジェクション)
堀川 慎
Backend Engineer / AWS / Django / Go