cPanel用LiteSpeedプラグインに最悪脆弱性、攻撃中。サーバ丸ごと乗っ取り（CVE-2026-48172）

ブログ/記事一覧/cPanel用LiteSpeedプラグインに最悪脆弱性、攻撃中。サーバ丸ごと乗っ取り（CVE-2026-48172）

ニュース本日更新

堀川慎

Backend Engineer / AWS / Django

2026.05.277 min1 views

Share X Hatena LINE LinkedIn RSS

この記事のポイント

CVSS最大値10.0のLiteSpeed cPanelプラグイン脆弱性CVE-2026-48172が攻撃中。レンタルサーバー業者の管理者が即パッチ必須で、契約者側にも乗っ取りリスクが波及。

レンタルサーバーの根っこを乗っ取られる脆弱性が、攻撃中

レンタルサーバーで広く使われているプラグイン LiteSpeed User-End cPanel Plugin に、深刻度の最大値である CVSS 10.0 の脆弱性 CVE-2026-48172 が見つかりました。発見した LiteSpeed社の公式発表と、米政府CISAの実害確認リスト（KEV）登録が同時に走っています。

何が起きるかというと、レンタルサーバーで「サイトとメールしか使わない」ような一般の契約者アカウントが一つでも乗っ取られると、そこからサーバー全体の管理者権限（root）が奪われ、同じサーバーに同居している他の契約者のサイトも丸ごと乗っ取られる、という最悪のパターンが成立します。サーバ会社が共用ホスティングを売っているなら、契約者数×全データが一気に危険にさらされる構図です。

すでに攻撃が観測されており、IoT機器を踏み台にするMirai（ミライ）系のボットネットの亜種と、データを人質にとるランサムウェアが、この脆弱性経由で送り込まれていると報じられています。修正版のリリースは2026年5月19〜21日、NVDの正式公開は5月26日でございます。

LiteSpeed cPanelプラグインとは：どこで使われているのか

先に「これ、自分は関係あるのか」を判定できるよう、製品の素性を整理しておきます。

cPanelは、レンタルサーバー会社が契約者に渡す「管理画面」の業界標準ソフトです。「メールアドレスを作る」「データベースを追加する」「PHPのバージョンを切り替える」といった作業を、契約者がブラウザ上でクリックで行える Web画面のことでございます。世界中のホスティング業者が採用しており、特に海外系・WordPress系のレンタルサーバーで圧倒的に多く見られます。

LiteSpeed Web Serverは、Apache や Nginx と並ぶ Webサーバーソフトで、WordPressサイトを高速化する用途で特に人気です。W3Techs の集計では、稼働中の上位1000万サイトのうち十数パーセント以上で採用されている定番製品となっています。

今回脆弱性が見つかった LiteSpeed User-End cPanel Plugin は、cPanel の画面から LiteSpeed の設定（Redisキャッシュの有効化、サイト高速化設定など）を扱えるようにする「橋渡し」プラグインです。レンタルサーバー業者が cPanel + LiteSpeed の組み合わせを採用していれば、たいていこのプラグインも入っています。日本国内では、海外系のレンタルサーバー（mixhost、ColorfulBox、JetBoy、Hosting Stadium 等の WordPress 特化型）や、海外で借りる廉価VPSに cPanel + LiteSpeed をセットで載せているケースで該当します。

逆に、さくらインターネット・エックスサーバー・ConoHa・ロリポップ等の日本の大手レンタルサーバーは独自管理画面なので cPanel を使っておらず、本件は無関係です。「うちのサーバー会社、cPanelだったかな？」と曖昧な方は、契約者向けのログイン画面の URL に :2083 や cpanel の文字列が入っていれば cPanel です。

何が壊れているのか：誰でもrootになれる関数が残されていた

脆弱性の中身は単純です。LiteSpeed の公式発表を一行で要約すると、こうなります。

「cPanel のどのユーザーアカウントでも（攻撃者本人のアカウントでも、侵入された別の契約者のアカウントでも）、lsws.redisAble という関数を呼び出せば、サーバーの最高権限（root）で任意のスクリプトを実行できる」

この lsws.redisAble は本来「Redisキャッシュを有効化する」だけの管理機能のはずでした。ところが、内部で動くスクリプトの実行権限の設計を誤っており、呼び出した側の権限ではなくサーバーの最高権限で動いてしまう仕様になっていたのです。一般ユーザー向けに公開されていたはずの便利機能が、そのまま「rootで任意コマンドを撃てるボタン」になっていた、という構造でございます。

技術的なカテゴリとしては「CWE-266: 不正な権限割り当て」に分類されます。聞き慣れない用語ですが、要するに「権限の渡し方を間違えた」分類で、Linux系サーバーの脆弱性としては毎年何件か必ず出てくる、定番中の定番でございます。

影響を受けるのは LiteSpeed User-End cPanel Plugin v2.3 〜 v2.4.4。これに対して、修正版 v2.4.5 以降、推奨は v2.4.7 + WHM Plugin v5.3.1.0 がリリース済みでございます。

自分のサーバーが既に攻撃されていないか、1コマンドで確認する

サーバーの管理者権限を持っている方は、攻撃の痕跡が残っていないかをLiteSpeed が示す手順で確認できます。サーバーに SSH でログインし、root もしくは sudo 権限で以下を実行してください。

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/

このコマンドは、cPanel の通信ログを再帰的に検索し、攻撃で必ず使われる cpanel_jsonapi_func=redisAble という文字列を含むリクエストを洗い出します。1件でもヒットしたら、その送信元IPアドレスが攻撃者の候補です。出力されたIPを精査し、悪意のあるものは即座に遮断したうえで、すでに root を取られている前提でサーバーのフォレンジック調査に入る判断が必要でございます。

出力が「ゼロ件」の場合は、少なくともログが残っている期間内に本脆弱性経由の侵害は確認できなかった、というところまでが言えます。ただしログが短期ローテーションで上書きされている環境では、過去の侵害を見落とす可能性が残るため、続けてパッチ適用と監視強化を推奨いたします。

攻撃の現状：Miraiボット亜種とランサムウェアが配布されている

The Hacker News の報道によれば、本脆弱性経由で観測されている攻撃ペイロードには Mirai 系ボットネットの亜種とランサムウェア株の2系統が含まれています。

Mirai はもともと監視カメラやルーターを乗っ取って巨大DDoS攻撃の踏み台にしてきた古典的なIoTマルウェアです。今回は同じ系統のコードが Linuxサーバー上で動かされ、レンタルサーバー一台ごと「攻撃出撃基地」に変えられている、というシナリオが観測されています。ランサムウェア側は、サーバー上のサイトデータ・データベース・バックアップを片端から暗号化し、復号鍵と引き換えに金銭を要求するタイプでございます。

公開された PoC（攻撃の実証コード）は5月26日時点では確認されていません。Cybersecurity News の整理によれば、技術的に極めて単純な脆弱性であるため、攻撃者各自が独自に実装を持ち込んでいる、と説明されています。「PoCが出ていないから安全」ではなく「PoCを出すまでもなく攻撃が回っている」状態とご理解ください。

対応手順：管理者向けと契約者向け

立場によってやるべきことが違いますので、分けて書きます。

▼ レンタルサーバー業者・VPS管理者の場合

最優先はLiteSpeed User-End cPanel Plugin の v2.4.7 以上へのアップグレード（WHM Plugin v5.3.1.0 同梱）です。手順はLiteSpeed のリリースログに従ってください。

cPanel 側の2026年5月19日付セキュリティアップデートでは、本脆弱なプラグインを自動アンインストールする処理が組み込まれました。cPanel の更新が走っていれば既に削除されている可能性もありますが、念のため強制更新コマンドで適用状態を確実にしてください。

# cPanel側の強制更新（自動アンインストールの確実な適用）
/scripts/upcp --force

# 直ちにパッチを当てられない場合、プラグインの手動削除
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

パッチ適用後も、前セクションの grep コマンドで過去ログを必ず確認し、侵害された形跡があればサーバー全体の再構築を前提とした対応に進む判断が必要でございます。rootを奪われた後の「中途半端な復旧」は信用できません。

▼ レンタルサーバーの一般契約者の場合

契約者側で本脆弱性を直接修正することはできません。サーバー会社の運用作業に依存します。やるべきことは以下の3点でございます。

契約しているレンタルサーバー会社が cPanel + LiteSpeed の組み合わせを使っているか確認する
もし該当する場合、サーバー会社のお知らせページ・ステータスページを確認し、CVE-2026-48172 対応の告知が出ているか確認する。出ていなければ、サポートに問い合わせて適用状況を確認する
cPanel のログインパスワードと、サーバーに保存している WordPress 等の管理者パスワードを念のため全部変更する（攻撃者が他の契約者経由でサーバー丸ごと取った可能性がある以上、自分のアカウントの認証情報も漏れている前提で動く）

研究者の報告から強制更新までのタイムライン

← スワイプで移動

「他人の侵害が自分に波及する」共有レンタルサーバー固有の怖さ

本件が単なるサーバー脆弱性以上に深刻な理由は、攻撃の入口が「cPanel の正規ユーザーアカウントを1つでも持っていること」だけだからです。攻撃者自身が安価な共用ホスティング契約を1つ買うか、あるいは別の契約者のアカウントをパスワードリスト攻撃で奪取するか、いずれかが成立すれば、その瞬間にサーバー全体の root が陥落します。

共用ホスティングは「同じ物理サーバー上に複数の契約者が同居している」ビジネスモデルです。OS の権限分離で互いに干渉できないように設計されているのですが、今回の脆弱性はその分離の仕組みそのものを誰でもrootに昇格できる導線で迂回してしまいます。一台のサーバーに数百〜数千件の契約者を載せている事業者の場合、「他人のサイトのパスワードがゆるかった」だけで、自分のサイトのデータも全部攻撃者の手に落ちる構造でございます。

この性質のため、レンタルサーバー業者側にとっては「契約者全員に告知する」「侵害された場合の通報義務を整理する」など、技術的なパッチを超えた運用面の対応が必要になります。日本では2026年4月から改正個人情報保護法に基づく漏洩報告のラインも下がっており、共用サーバーで一斉侵害が起きた場合の事業者側の責任は重くなっています。

CVSS 10.0のKEV登録案件、見送れる余地はない

CVSS スコアが満点の 10.0 で、米CISA の実害確認リスト（Known Exploited Vulnerabilities Catalog）に登録され、現に Mirai 系ボットとランサムウェアが配布されている――この条件が揃った時点で、サーバー管理者側に検討の余地はありません。即パッチでございます。

そして、契約者側に伝えたいことは1つです。「自分のサーバー会社が cPanel + LiteSpeed を使っているか」を、今日中に一度確認しておく価値があります。該当するなら、業者側の告知の有無、自分のパスワードの強度、そして仮に侵害された場合の引き取り先のバックアップを、念のため見直しておくのが安全でございます。

参照元

・NVD - CVE-2026-48172（米国立脆弱性データベース）
・Security Update for LiteSpeed cPanel Plugin（LiteSpeed公式ブログ）
・CISA Known Exploited Vulnerabilities Catalog
・LiteSpeed cPanel Plugin CVE-2026-48172 Exploited to Run Scripts as Root（The Hacker News）
・LiteSpeed cPanel Plugin 0-Day Exploited in the wild to Gain Server Root Access（Cybersecurity News）
・LiteSpeed User-End cPanel Plugin Privilege Escalation（Gotekky Security）
・LiteSpeed cPanel Support（LiteSpeed公式）
・CWE-266: Incorrect Privilege Assignment