人気の開発ソフト『IntelliJ IDEA』に乗っ取りの脆弱性 CVE-2026-59792、不正なプロジェクトを開くと危険、最新版へ即更新を
世界中の開発者が使う開発ソフト『IntelliJ IDEA』に、危険度9.6の深刻な脆弱性CVE-2026-59792が見つかりました。細工されたプロジェクトを開くだけで、パソコン上で攻撃者のプログラムが実行される恐れがあります。対象は2026.1.4より前と2026.2より前の全バージョン。修正版が公開済みで、今すぐの更新が必要です。自分が使っているか確認を。
目次
世界中の開発者が使う開発ソフト『IntelliJ IDEA』に、危険度9.6の深刻な脆弱性CVE-2026-59792が見つかりました。細工されたプロジェクトを開くだけで、パソコン上で攻撃者のプログラムが実行される恐れがあります。対象は2026.1.4より前と2026.2より前の全バージョン。修正版が公開済みで、今すぐの更新が必要です。自分が使っているか確認を。
世界中の開発者が使う統合開発環境(プログラムを書くための総合ソフト)「IntelliJ IDEA(インテリジェイ・アイデア)」に、細工されたプロジェクトを開いただけで、パソコン上で攻撃者のプログラムが実行されてしまう深刻な欠陥が見つかりました。識別番号はCVE-2026-59792で、危険度は10点満点中9.6と最上位クラスです。
悪用に必要なのは、攻撃者が用意したプロジェクト(ソースコード一式)を、利用者が自分のIntelliJ IDEAで開く(取り込む)ことだけです。開いた瞬間、本来アクセスできない場所にファイルが書き込まれ、そのままコードが実行されます。これは遠隔からのコード実行(RCE)と呼ばれ、脆弱性の中でも最も重い部類に入ります。対象は2026.1.4より前および2026.2より前のすべてのバージョンで、開発元のJetBrainsが修正版を公開済みです。IntelliJ IDEAを使っている人は、今すぐ最新版へ更新してください。
IntelliJ IDEAとは何か
IntelliJ IDEAは、チェコのJetBrains社が開発する統合開発環境(IDE)です。IDEとは、コードを書く・実行する・間違いを見つけるといった開発作業を1つの画面でまとめて行えるソフトのことです。とくにJavaやKotlinという言語の開発では事実上の定番で、企業のシステム開発から個人のアプリ制作まで、世界の何百万人という開発者が日常的に使っています。無料のCommunity版と有料のUltimate版があり、日本の開発現場でも広く使われています。
この種の開発ソフトは、外部から受け取ったプロジェクト(他人が作ったソースコード一式)を開いて中身を確認する、という使い方を日常的にします。「他人が用意したコードを自分のパソコンで開く」という行為そのものが、攻撃の入口になり得るのがIDEの怖いところです。同じ構図の欠陥は、VS CodeのJava拡張機能の脆弱性や、AmazonのAI開発ツールKiroの脆弱性のように、開発ツールで繰り返し報告されています。
何が危険なのか、どこまで被害が広がるのか
今回の欠陥は、専門用語では「パストラバーサル(相対パスによるディレクトリ移動)」と呼ばれる不備です。プロジェクトを開くときに使う内部の識別情報(プロジェクトの作業場所を示すID)の扱いに問題があり、本来書き込んではいけない場所へファイルを置けてしまう状態になっていました。攻撃者はこれを利用して、IntelliJ IDEAが自動的に読み込む位置に実行用のファイルを紛れ込ませ、コードを走らせます。
コードがパソコン上で実行されると、攻撃者はそのパソコンを操作する利用者と同じ権限で、事実上何でもできるようになります。ソースコードや業務ファイルの持ち出し、保存されたパスワードやクラウドの認証情報の窃取、別のマルウェアの導入、社内ネットワークへの足がかりづくりまで、被害は一気に広がりかねません。開発者のパソコンには本番環境の鍵やアクセス権が入っていることが多く、そこを起点に企業全体へ被害が波及する恐れもあります。危険度9.6という数字は、この「開くだけで奪える影響の大きさ」を反映しています。
悪用にログインは不要ですが、利用者が細工されたプロジェクトを開くという一手間は必要です。無差別にネットをスキャンして刺さるものではありませんが、逆に言えば、GitHubなどで公開された魅力的なリポジトリや、業務で渡されたコードを疑わずに開く習慣そのものが狙われます。悪意あるサイトを開くだけでPCを操作されたAIコーディングツールClineの脆弱性と同じく、開発者の「開く」という日常動作が攻撃の引き金になります。
誰がこの穴を狙い、何が起きるのか
この脆弱性を突くと想定されるのは、開発者のパソコンを乗っ取って本番環境の認証情報やソースコードを盗み出す攻撃者や、企業のシステムへ侵入する足がかりを探すランサムウェア集団やサプライチェーン攻撃者です。開発者の端末は、社内システムやクラウドへの「鍵束」を持っていることが多く、攻撃者にとって価値の高い標的になります。
攻撃の流れはこうです。攻撃者は便利そうなライブラリや面接課題、業務の受け渡しなどを装って細工したプロジェクトを配り、被害者がそれをIntelliJ IDEAで開いた瞬間に、パソコン上でコードを実行させます。技術的な詳細は後述しますが、必要なのは「相手に開かせる」ことだけで、その後の操作は利用者に気づかれないまま進みます。
結果として、狙われた開発者は、書きかけのコードや顧客データを抜かれるだけでなく、保存していたクラウドの鍵を悪用されて会社のサーバーごと侵入される恐れがあります。近年は、開発者や開発ツールを起点に組織へ侵入する「サプライチェーン攻撃」が増えており、攻撃側がAIで攻撃を加速させている構造とも重なります。開発ツールの欠陥は、一人のパソコンにとどまらず組織全体に波及しうる点で、影響が大きくなりがちです。
技術的に見ると何が起きているのか
問題は、プロジェクトを開くときの内部処理の作りにありました。識別番号が一つ割り当てられています。
CVE-2026-59792:プロジェクトの作業場所IDの扱いから、実行ファイルを送り込める
IntelliJ IDEAは、プロジェクトを開くと、その作業場所を示す識別情報(ワークスペースID)をもとに設定ファイルなどを読み書きします。本来この識別情報は、決められたフォルダの内側だけを指すべきものでした。ところが今回、この値に「../」のような上位フォルダへ移動する記号を混ぜられると、決められた範囲の外へファイルを書き込めてしまう状態になっていました。米国立標準技術研究所(NIST)はこれを、相対パスによるディレクトリ移動の分類(CWE-23)として整理しています。
攻撃の手口はこうです。攻撃者はワークスペースIDに細工を仕込んだプロジェクトを用意し、被害者がそれを開くと、IntelliJ IDEAが起動時などに自動で読み込む場所へ、攻撃者のコードを含むファイルが書き込まれ、そのまま実行されます。ログインは不要(権限要件なし)ですが、被害者がプロジェクトを開くという操作が引き金になります。CVSSの内訳では、影響がソフトの枠を越えて広がる「スコープ変更(S:C)」がつき、機密性・完全性への影響が「高」と評価されています。開発元のJetBrainsは、この識別情報の扱いを正す修正をセキュリティ更新として公開しており、2026.1.4および2026.2で解消されています。
影響を受けるバージョンと対策
対象となるのは2026.1.4より前、および2026.2より前のすべてのバージョンのIntelliJ IDEAです。開発元が修正を公開しているため、2026.1.4または2026.2以降へ更新するのが根本対策です。IDE本体の「アップデートの確認」から最新版を適用してください。
| 今の状況 | 危険度 | やること |
|---|---|---|
| 2026.1.4/2026.2より前 × 外部のコードを開く | 最も危険 (開くとコード実行) | 今すぐ最新版へ更新 不審なコードは開かない |
| 2026.1.4/2026.2より前 × 自分のコードのみ | 要更新 | 早めに最新版へ更新 |
| 2026.1.4/2026.2以降 (最新版) | 対策済み | この穴は塞がれている |
すぐに更新できない場合の一時しのぎとしては、出所の分からないプロジェクトを開かないことが最も効きます。IntelliJ IDEAには、信頼できないプロジェクトを制限付きで開く「セーフモード(信頼できないプロジェクトの安全な取り扱い)」の仕組みもあるため、心当たりのないコードを開くときは信頼を与えないようにしてください。ただしこれらは時間稼ぎであり、根本的には最新版への更新が必要です。
確認できていること、まだ分からないこと
✓ 確認済みの事実
? まだ確認されていないこと
- ?この脆弱性が実際の攻撃に悪用されたという公式な報告は、公開時点で確認されていない
- ?米政府CISAが公開する「実際に攻撃が確認された脆弱性リスト(KEV)」には、公開時点で登録されていない(KEVの最新状況はこちらで確認できる)
- ?開発者を狙う攻撃は被害が組織全体に広がりやすく、公開後に悪用が始まりやすい点に注意が必要
今すぐできる対策
対策の軸ははっきりしています。IntelliJ IDEAを2026.1.4または2026.2以降へ更新することが最優先です。IDEの「Help(ヘルプ)」メニューから「Check for Updates(アップデートの確認)」を実行し、最新版を適用してください。JetBrainsの管理ツール「Toolbox App」で複数のIDEをまとめて入れている場合は、Toolbox側から更新できます。開くだけで悪用できるタイプのため、放置した分だけ危険にさらされる時間が延びます。
あわせて、出所の分からないプロジェクトやサンプルコードを不用意に開かない習慣も大切です。GitHubで見つけたリポジトリ、面接や課題で渡されたコード、メールやチャットで送られてきたプロジェクトは、信頼できると確認できるまで安易に開かないでください。開発ツールは、拡張機能やプレビュー機能の欠陥、プロジェクトに入るだけでコマンドが走る欠陥のように、「開く・取り込む」動作を突かれる事故が後を絶ちません。
| 立場 | 今できること | 優先度 |
|---|---|---|
| IntelliJ利用者 | 2026.1.4/2026.2以降へ更新 不審なプロジェクトを開かない | 最優先 |
| 開発チーム管理者 | 全員の版数を確認・一斉更新 Toolboxで配布状況を点検 | 高 |
| 不審コードを開いた疑い | 認証情報の再発行・端末点検 不審な通信やファイルを調査 | 高 |
よくある質問
Q. 自分のIntelliJ IDEAが対象のバージョンか、どう確認すればいいですか。
A. IntelliJ IDEAを起動し、「Help(ヘルプ)」メニューの「About(バージョン情報)」を開くと、現在のバージョンが分かります。2026.1.4より前、または2026.2より前であれば対象です。「Check for Updates(アップデートの確認)」から最新版へ更新してください。無料のCommunity版・有料のUltimate版のどちらも、対象バージョンなら更新が必要です。
Q. 自分で書いたコードしか開いていなければ安全ですか。
A. 悪用には「攻撃者が細工したプロジェクトを開く」ことが必要なため、外部のコードを一切開かなければ、ただちに悪用される可能性は低いといえます。ただし、ライブラリの取り込みや同僚からのコード受け取りなど、外部由来のプロジェクトを開く機会は日常的にあります。確実なのは最新版へ更新することです。
Q. すでに攻撃に悪用されているのですか。
A. 本記事の公開時点で、この脆弱性が実際の攻撃に使われたという公式な報告は確認されていません。米政府CISAの攻撃確認リスト(KEV)にも登録されていません。ただし開発者を狙う攻撃は被害が大きくなりやすく、修正が公開されると手口が解析されて悪用が始まりやすいため、早めの更新が安全です。
Q. Android StudioなどIntelliJをもとにしたソフトも危険ですか。
A. IntelliJ IDEAをもとに作られた開発ソフトは複数ありますが、影響を受けるかは各製品の作りと取り込んだバージョンによります。今回の識別番号(CVE-2026-59792)はIntelliJ IDEAに対して割り当てられたものです。派生ソフトを使っている場合は、それぞれの提供元が出すセキュリティ情報を確認してください。
まとめ
今回の件は、世界中の開発者が使う定番の開発ソフトIntelliJ IDEAが、プロジェクトを開くときの識別情報の扱いを誤っていたために、細工されたプロジェクトを開くだけでパソコン上でコードを実行され得るという話です。CVE-2026-59792はログイン不要(利用者が開く操作は必要)で悪用でき、危険度は最上位クラスの9.6。開発者のパソコンは組織の鍵を握っていることが多く、被害が個人にとどまらない点が厄介です。
救いは、JetBrainsがすでに修正を公開していることです。2026.1.4または2026.2以降へ更新するだけで防げます。開発ツールは「他人のコードを開く」という日常動作を突かれやすいという前提で、こまめな更新と、出所の分からないコードを安易に開かない習慣を身につけておきたいところです。新たな悪用の動きがあれば、あらためてお伝えします。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go