分散型SNS Mastodonにサーバーを踏み台にされる脆弱性、クラウドの鍵が盗まれる恐れ、CVE-2026-47389、修正版へ更新を
分散型SNS『Mastodon』のサーバーソフトに、外部からサーバー自身を踏み台にして不正な接続をさせられる脆弱性が見つかりました。CVE-2026-47389、深刻度はCVSS8.6。攻撃者がDNSを細工するだけで、サーバー内部やクラウドの管理情報(鍵)に到達され、認証情報を盗まれる恐れがあります。4.5.9以前・4.4.16以前・4.3.22以前が対象で、運営者は4.5.10/4.4.17/4.3.23へ更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
分散型SNS『Mastodon』のサーバーソフトに、外部からサーバー自身を踏み台にして不正な接続をさせられる脆弱性が見つかりました。CVE-2026-47389、深刻度はCVSS8.6。攻撃者がDNSを細工するだけで、サーバー内部やクラウドの管理情報(鍵)に到達され、認証情報を盗まれる恐れがあります。4.5.9以前・4.4.16以前・4.3.22以前が対象で、運営者は4.5.10/4.4.17/4.3.23へ更新を。
X(旧Twitter)の代わりとして使われる分散型SNS「Mastodon(マストドン)」のサーバーソフトに、外部からサーバー自身を踏み台にして不正な接続をさせられる脆弱性(プログラムの欠陥)が見つかりました。CVE-2026-47389、深刻度は10点満点中8.6(重要)です。
対象は4.5.9以前・4.4.16以前・4.3.22以前のMastodonをRuby 3.4より古い環境で動かしているサーバーです。GitHubが報告し、2026年6月24日に公開されました。修正は4.5.10/4.4.17/4.3.23に含まれています。攻撃者が自分のドメインのDNS設定を細工するだけで、サーバー内部やクラウドの管理情報(認証情報)に到達される恐れがあるため、インスタンス(サーバー)を運営している管理者はすぐに更新が必要です。
Mastodonとは何か、SSRFとは何か
Mastodonは、特定の企業が一括で運営するのではなく、世界中の数千のサーバー(インスタンス)が連携して動く分散型のSNSです。利用者はどこかのインスタンスにアカウントを作り、別のインスタンスの相手ともやり取りできます。日本でも多くのインスタンスが運営され、Xの代替として一定の利用者を抱えています。サーバーソフトはオープンソースで公開されており、誰でも自分のインスタンスを立てられます。
今回の欠陥はSSRF(サーバーサイド・リクエスト・フォージェリ)と呼ばれる種類です。これは、本来は外部から直接触れないサーバー内部やクラウドの管理用アドレスに対して、サーバー自身に裏側で接続させてしまう攻撃を指します。Mastodonはリンクのプレビュー作成や他インスタンスとの連携で外部のURLへアクセスするため、その接続先を攻撃者に誘導されると、内部の機密に手が届いてしまいます。
誰が狙い、何をされ、どうなるのか
この攻撃を仕掛けられるのは自分のドメインを1つ用意し、そのDNS(ドメイン名とアドレスの対応表)を自由に設定できる外部の第三者です。Mastodonのアカウントすら不要で、ドメインを1つ持っているだけで条件を満たせてしまいます。
攻撃者がすることは、細工したアドレスをDNSに登録しておき、Mastodonサーバーにそのドメインへアクセスさせて、内部やクラウドの管理用アドレスへ裏側で接続させ、その応答を読み取ることです。狙われる先には、サーバー内部の管理画面(127.0.0.1)や社内ネットワークのほか、クラウドの「メタデータ」と呼ばれる管理用アドレス(AWSの169.254.169.254、Alibaba Cloudの100.100.100.200など)が含まれます。
とくに深刻なのは、クラウド上でMastodonを運営している場合です。クラウドのメタデータには、そのサーバーに割り当てられた認証情報(クラウドを操作するための鍵)が含まれることがあり、これを盗まれるとクラウドのアカウントごと乗っ取られかねません。インスタンスを運営する管理者にとってはインフラ全体の制御を失う事態に、そのインスタンスを使う利用者にとっては個人情報の流出リスクに直結します。
実際に攻撃へ使われ始めた脆弱性は、米政府機関CISAの「実際に攻撃されている脆弱性リスト」に載ることがあります。日本語で追える一覧はCISA KEV ダッシュボード(日本語版)にまとめています。
脆弱性の中身
Mastodonは、危険な接続先(127.0.0.1や社内・クラウドの管理アドレス)への接続を、あらかじめ拒否リストで弾くようにしています。今回の問題は、そのチェックをすり抜けるアドレスの書き方が残っていたことです。
CVE-2026-47389:DNSを細工して内部・クラウドへ裏側で接続(CVSS 8.6)
公開情報によると、根本原因はRuby(Mastodonが使うプログラミング言語)の3.4より前のバージョンが、「IPv4アドレスをIPv6の形で表したアドレス(::ffff:a.b.c.d の形式)」を正しく扱えない点にあります。攻撃者は、この形式で危険なアドレスを指すAAAAレコード(IPv6用のDNS設定)を自分のドメインに登録しておきます。
Mastodonがそのドメインへアクセスすると、拒否リストの判定はすり抜けるのに、実際の接続先は内部やクラウドの管理アドレスになるという食い違いが起き、サーバーが本来触れてはいけない先へ接続してしまいます。到達できる範囲はRubyのバージョンによって変わります。修正版(4.5.10/4.4.17/4.3.23)では、すり抜けていたアドレスの書き方が拒否リストに追加されました。あわせてRuby 3.4以降へ上げると根本原因が解消されます。
自分のインスタンスが対象かどうかの早見表
影響を受けるのは、下表のバージョンをRuby 3.4より古い環境で動かしている場合です。Mastodonのバージョンは管理画面で確認できます。利用しているリリース系統に応じて、対応する修正版へ更新してください。
| 使っている Mastodon | 状態 | やること |
|---|---|---|
| 4.5.9以前 (4.5系) | 影響あり | 4.5.10へ更新 |
| 4.4.16以前 (4.4系) | 影響あり | 4.4.17へ更新 |
| 4.3.22以前 (4.3系) | 影響あり | 4.3.23へ更新 |
| 上記の 修正版以降 | 修正済み | 対応不要 |
Mastodonにアカウントを持っているだけの利用者は、自分でこの欠陥を直すことはできません。自分の使っているインスタンスの管理者が更新したかどうかを確認するか、運営者の対応を待つことになります。とくにクラウド上で運営されている大きめのインスタンスでは、影響が大きくなりやすい点に注意してください。
いま取るべき対策
インスタンスを運営しているなら、最優先はMastodonを4.5.10/4.4.17/4.3.23以降へ更新することです。公式のリリースから、自分が使っている系統に合う修正版を入手してください。あわせて、サーバーのRubyを3.4以降へ更新すると、今回の根本原因そのものが解消されます。
クラウド上で運営している場合は、メタデータへのアクセスを厳しくする設定(たとえばAWSなら新しい方式の「IMDSv2」を必須にする)を併用すると、万一すり抜けられても被害を抑えられます。すでに悪用された可能性を疑う場合は、クラウドの認証情報(鍵)を更新後に入れ替え、不審なアクセスがなかったかをログで点検してください。内部の管理画面(Sidekiqなど)を外部から到達できない位置に置いているかも、この機会に見直すとよいでしょう。
まとめ
MastodonのCVE-2026-47389は、Ruby 3.4より前のアドレス処理の不備を突いて、攻撃者がDNSを細工するだけでサーバーを踏み台にし、内部やクラウドの管理情報へ裏側で接続させてしまうSSRFの脆弱性です。深刻度はCVSS 8.6、対象は4.5.9以前・4.4.16以前・4.3.22以前で、4.5.10/4.4.17/4.3.23で修正済みです。
とくにクラウド上のインスタンスでは、クラウドの鍵を盗まれてアカウントごと乗っ取られる恐れがあり、放置のリスクは小さくありません。インスタンスを運営しているなら、まずバージョンを確認し、古ければ今すぐ更新してください。あわせてRubyの更新も検討する価値があります。Mastodonに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。