採用管理ソフトOpenCATSに脆弱性、求職者データ流出の恐れ CVE-2026-49489

人材会社や企業の採用担当が使うオープンソースの採用管理ソフトOpenCATSに、データベースの中身を抜き取れる脆弱性CVE-2026-49489（CVSS 8.5）が見つかりました。バージョン0.9.7.4以前を使っている場合、ログインできる利用者であれば誰でも、求職者の履歴書・連絡先・選考メモといったデータベースの中身を読み出せる状態です。攻撃を自動で実行するプログラム（PoC）は、すでにExploit-DBで公開されています。

SQLインジェクションとは、入力欄や画面操作を通じて、本来は許されていないデータベース命令をこっそり紛れ込ませる古典的な攻撃手法です。今回はその命令の差し込み口が、一覧画面の並べ替え（ソート）を指定する値に残っていました。問題は2026年5月27日に公開され、脆弱性管理番号はGitHubセキュリティアドバイザリ GHSA-8mc8-5gw6-c7w4として採番されています（採番元は脆弱性情報基盤のVulnCheck）。

問題は、0.9.7.4 が現時点での最新リリースでもあることです。この脆弱性をふさいだ正式な修正版はまだ出ていません。自社でOpenCATSを動かしている組織は、修正版を待つあいだ、運用側でできる緩和策を今すぐ取る必要があります。

OpenCATSとは何か

OpenCATSは、求人の掲載から応募者の管理、選考、内定までを一元管理する採用管理システム（ATS）です。2000年代半ばから続くオープンソースの定番で、PHPとMySQLで動きます。月額課金のクラウド型サービスを避けたい中小の人材紹介会社や採用担当が、月10ドル程度のVPSや自社サーバーに自前で立てて使うケースが多いのが特徴です。GitHubのリポジトリは約690スター・約300フォークで、開発は2026年5月末時点でも続いています。

つまりここに溜まっているのは、求職者の氏名・メールアドレス・電話番号・職務経歴・履歴書ファイル・面接の評価メモといった、典型的な機微情報の塊です。日本でも個人情報保護法（APPI）の保護対象そのもので、漏えいすれば本人への通知や個人情報保護委員会への報告が必要になる種類のデータです。求職者は、自分の情報がどのソフトで管理されているかを選べません。

名簿棚の鍵が「社員証を持つ全員」に配られていた

CVSS 8.5 という数字だけでは、誰が何を持ち去るのかが見えてきません。この脆弱性が本当に怖いのは、攻撃に必要なのが「管理者権限」ではなく「ログインできること」だけ、という一点に尽きます。誰が・何を狙うのかを先に見ておきます。

OpenCATSにログインできる人は、人材会社では珍しくありません。多数の採用担当、登録キャリアアドバイザー、業務委託のリクルーター、そして退職したのにアカウントが消されずに残っている元社員。狙ってくるのは求職者リストを丸ごと欲しがる競合エージェント、転職者の連絡先と現年収を名簿として売りさばく名簿屋、応募者になりすまして金銭をだまし取る詐欺グループ、そして退職後に古いIDで入り直して顧客名簿を持ち出す元社員です。彼らが取りに行くのは、登録者全員の氏名・携帯番号・個人メール、職務経歴書のPDF、面接官が書いた「他社も受けている」「現年収700万」といった生々しいメモ、そして採用担当者アカウントのパスワードのハッシュ値そのものです。このソート欄に細工した文字列を一度送り込まれた瞬間、登録された求職者データベースの中身がそっくり抜き取られてしまいます。

構造としては、内部の人間や、内部に一度でも足場を作れた相手による情報持ち出しです。攻撃の手口は「時間差ブラインドSQLインジェクション」と呼ばれ、画面にデータが表示されなくても、「条件が当たったらデータベースの応答をわざと数秒遅らせる」命令を送り、その応答時間の差から中身を1文字ずつ推測していきます。地道に見えますが、今回はその一連の作業を全自動でこなすPythonスクリプトがExploit-DBで公開済みで、攻撃者はデータベース名・テーブル構造から利用者のパスワードのハッシュ値まで、ボタン一つで吸い出せます。盗んだ管理者アカウントでログインし直せば、求職者データの閲覧だけでなく改ざんや削除にも手が届きます。

「CVSS 8.5」というラベルでは伝わらないのは、人材会社にとっての本当の損失です。流出するのは自社の業績データではなく、「あなたに任せたから安心して転職活動を相談した」求職者一人ひとりの人生の情報であり、それが漏れた瞬間に失うのは、人材ビジネスの土台である「個人情報を預けられる会社」という信用そのものです。求職者は会社を選べても、ソフトは選べない。だからこそ、運用する側の備えがそのまま当事者の保護になります。

何が起きているのか（技術的に見ると）

問題があるのは、一覧画面の並べ替えやページ送りを担う「DataGrid」という共通部品です。具体的には、AJAX通信を受け付ける ajax/getDataGridPager.php が受け取る sortDirection（並べ替えの方向を指定する値）のチェックが不十分で、ここに細工した文字列を送り込むと、本来意図しないSQL文がそのままデータベースに渡ってしまいます。本来この値は「昇順か降順か」しか取らないため、開発側が無害だと見なして検証を省いていたとみられます。

脆弱性を報告したのは、セキュリティ研究グループHAKAIのGabriel Rodrigues（TEXUGO）氏です。同氏が公開した実証コードは、まずOpenCATSに正規にログインし、その後 sortDirection に IF() と SLEEP() を組み合わせたSQL文を注入し、応答が遅れるかどうかでデータベースの中身を1文字ずつ割り出します。実際にデータベースのバージョン、データベース名、利用者のユーザー名・権限レベル・パスワードのハッシュ値の取得まで成功したと報告されています。

なお、OpenCATSのDataGridまわりでは、別のSQLインジェクション（タグ列のフィルタ処理に関するGHSA-gmpc-j6h7-vw74）も同時期に報告されています。今回のソート欄の件と合わせ、入力値の検証漏れが一覧画面の複数箇所に残っている状態です。開発側は5月26日にAJAXエンドポイントへの認可チェック追加などのセキュリティ修正を進めていますが、これらをまとめた修正リリースはまだ出ていません。

いますぐやるべきこと

正式な修正版が出ていないため、当面は運用側での緩和が中心になります。自社でOpenCATSを動かしている場合は、次の対応を検討してください。

1. インターネットへの直接公開をやめる。 OpenCATSを社内ネットワークやVPN、IP制限の内側に置き、外部から誰でもログイン画面に到達できる状態を避けます。今回の攻撃には「ログインできること」が必要なので、到達経路を絞るだけでも攻撃面は大きく下がります。

2. アカウントを棚卸しする。 ログインできる人すべてが潜在的な攻撃者になり得ます。退職者・取引先・テスト用の不要なアカウントを削除し、現在も使っている利用者だけに絞ります。パスワードのハッシュ値が抜かれている前提で、利用者全員のパスワードリセットも検討します。

3. 不審なアクセスを監視・遮断する。 WAF（Webアプリケーションファイアウォール）で sortDirection に対する不正な文字列や、応答が異常に遅いクエリの連発を検知します。アクセスログを過去にさかのぼり、ajax.php への大量の連続リクエストがないか点検します。

4. 公式の修正を待って即適用する。 リリースページとセキュリティアドバイザリを継続的に確認し、修正版が出たら速やかに適用します。

採用管理システムは、攻撃者から見れば「大量の個人情報がまとまって置いてある棚」です。同じように自前運用しているツールに潜む欠陥を素早く把握したい場合は、OSSサプライチェーン・スキャナーもあわせてご覧ください。OSSの採用ツールを自社で動かしている組織は、今回の件を機に、公開範囲とアカウント管理を一度見直しておくことをおすすめします。

参照元

• ▸NVD - CVE-2026-49489 Detail
• ▸GitHub Security Advisory - GHSA-8mc8-5gw6-c7w4
• ▸Exploit-DB #52579 - OpenCATS 0.9.7.4 SQL Injection（Gabriel Rodrigues / HAKAI）
• ▸GitHub Security Advisory - GHSA-gmpc-j6h7-vw74（DataGrid タグ列のSQLi）
• ▸OpenCATS 公式リポジトリ（GitHub）
• ▸OpenCATS Releases