監視ツールSplunkに脆弱性2件、ログインなしでサーバーのファイルを破壊も CVE-2026-20253ほか、最新版へ更新を
企業の監視・ログ基盤Splunkに深刻な脆弱性2件(CVE-2026-20253ほか、最大CVSS 9.8)。ログインなしでサーバー上のファイルを作成・破壊でき、一般権限のアカウントからは任意コード実行でサーバーを乗っ取られる恐れ。社内の「監視塔」が攻撃の標的に。Splunk Enterpriseは10.2.4または10.0.7以降へ即更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
企業の監視・ログ基盤Splunkに深刻な脆弱性2件(CVE-2026-20253ほか、最大CVSS 9.8)。ログインなしでサーバー上のファイルを作成・破壊でき、一般権限のアカウントからは任意コード実行でサーバーを乗っ取られる恐れ。社内の「監視塔」が攻撃の標的に。Splunk Enterpriseは10.2.4または10.0.7以降へ即更新を。
社内のあらゆる動作記録を集めて監視する「ログ基盤」が、ログインしていない相手にサーバー上のファイルを壊され、一般社員のアカウントから乗っ取られる──そんな深刻な脆弱性2件が、企業向け監視プラットフォームの定番 Splunk(スプランク) に公開されました。番号は CVE-2026-20253(CVSS 9.8、Critical)と CVE-2026-20251(CVSS 8.8、High)の2本です。
Splunkは、サーバーやアプリが残す大量のログ(動作記録)を一カ所に集めて検索・監視・分析するためのソフトで、不正アクセスをいち早く見つけるセキュリティ監視(SIEM)の中核として、国内でも金融・通信・製造の多くの大企業が使っています。開発元のSplunk社は 2024年にCiscoが約280億ドルで買収 しており、NVD上のベンダー表記もCisco Systemsになっています。
2件のうち深刻なのは CVE-2026-20253 で、認証情報を一切持たない相手が、Splunk内部の補助データベース経由でサーバー上のファイルを勝手に作成・切り詰め(中身の消去)できます。もう1件の CVE-2026-20251 は、一般権限のアカウントしか持たない利用者が、スマホ連携機能に保存されたデータの復元処理を突いて任意のプログラムを実行(乗っ取り)できる問題です。いずれも修正版が出ており、Splunk Enterpriseは10.2.4または10.0.7以降への更新が必要です。Splunkのセキュリティ情報 を確認のうえ、いま対応をご検討ください。
Splunkとは何か、なぜ企業の心臓部なのか
Splunkは、社内のサーバー・ネットワーク機器・アプリが吐き出すログをまとめて取り込み、検索・可視化・アラートを行うプラットフォームです。「いつ・誰が・どこに・何をしたか」の記録が一カ所に集まるため、障害の原因調査やセキュリティ監視の土台になります。特にセキュリティ用途では、攻撃の兆候を検知する 国内大企業のセキュリティ運用 の中心に据えられていることが多く、いわば社内全体を見渡す「監視塔」の役割を担っています。
ここで効いてくるのが、「監視塔そのものが、社内のあらゆる秘密が通り過ぎる場所になっている」という点です。ログには、エラーに紛れ込んだパスワードやAPIキー、顧客とのやり取り、誰がどのシステムにアクセスしたかの監査記録が含まれます。攻撃者から見れば、個々のサーバーを一台ずつ攻めるより、それらが集約されたSplunkを一撃で押さえる方がはるかに効率的です。監視役のサーバーが乗っ取られれば、自分の侵入の痕跡を消すこともできてしまいます。
今回の2件は、その監視塔への入口を2方向から開けます。ひとつは 認証不要でネットワークから届くファイル操作(CVE-2026-20253)、もうひとつは 一般権限のアカウントからの乗っ取り(CVE-2026-20251)です。前者は外周に近い位置から、後者は内側に一歩入った相手が踏める経路で、守る側にとってはどちらも見過ごせません。
あなたの状況別、どこが危ないのか
「Splunkに脆弱性2件」と言っても、どの製品をどう使っているかで論点が変わります。先に切り分けます。
| 使い方・立場 | 該当CVE | 何が起きるか |
|---|---|---|
| 自社運用の Splunk Enterprise | 20253 / 20251 | 2件とも該当。 自分で更新が必要 |
| スマホ連携機能 (Secure Gateway) を有効化中 | 20251 | 一般権限から 任意コード実行 (乗っ取り) |
| Splunk Cloud (クラウド版) | 20253 / 20251 | Splunk側で 順次更新。状況確認を |
自社のサーバーでSplunk Enterpriseを動かしている企業は、自分でバージョンを上げる必要があります。クラウド版のSplunk Cloud Platformは、修正がSplunk側で順次適用される形ですが、自社のテナントが対象バージョンに上がっているかは確認しておくべきです。とりわけ、スマートフォン向けの「Splunk Mobile」と連携するための Splunk Secure Gateway を有効にしている環境は、CVE-2026-20251の直撃を受けます。
監視塔が乗っ取られた時、社内から消えるもの
Splunkは、社内のあらゆる記録を一手に集める「監視塔」です。その鍵がいくつか開いていた話を、攻撃者の側から見てみます。狙うのは抽象的な「ハッカー」ではありません。社内に入り込んだランサムウェアの実行役、持ち出しを企てる退職間際の元管理者、取引先を装う産業スパイ、一般社員アカウントしか持たない不満分子です。彼らが欲しがるのは、ログに紛れたパスワードやAPIキー、顧客とのやり取り、誰がいつ何にアクセスしたかの監査記録です。今回の2件を踏まれた瞬間、その監視塔の中身が読み出され、書き換えられ、自分の侵入の痕跡だけがきれいに消されます。
入口は2つです。CVE-2026-20253は、認証を持たない相手でも、内部の補助データベース(PostgreSQLサイドカー)経由でファイルを作成・切り詰めできる穴で、設定ファイルや起動スクリプトに手を入れれば監視基盤を攻撃の足場に変えられます。CVE-2026-20251は、一般権限のアカウントさえあれば、スマホ連携機能の復元処理を突いてサーバーを乗っ取れます。前者は外周近くから、後者は内側に一歩入った相手が踏む経路です。
怖いのは、Splunkが「攻撃を見張る側」だという点です。一般のサーバーが落ちれば誰かが気づきますが、見張り役を内側から握られると、攻撃者は都合の悪いログだけを消し、アラートを止め、何事もなかったように居座れます。
CVSS 9.8という数字は、技術的な深刻度の最大級を示すラベルにすぎません。セキュリティ運用チームにとって本当に失われるのは、侵入の証拠が攻撃者の手で消され、何を盗まれたのかすら永遠に分からなくなることです。城壁のどこが破られたかを知る望楼ごと、敵の手に渡ります。
2件のCVEを個別に見る、どこで何が起きるのか
深刻度の高い順に整理します。性質がまったく違う2件です。
CVE-2026-20253: ログインなしでサーバーのファイルを作成・破壊(認証の欠落)
CVE-2026-20253(CVSS 9.8)は、Splunkが内部で使う補助データベースサービス(PostgreSQLサイドカー)のエンドポイントに認証が掛かっていない問題(CWE-306、重要な機能における認証の欠落)です。ネットワークから届く相手なら、ログイン情報を一切持っていなくても、サーバー上の任意のファイルを作成したり、既存ファイルを切り詰めて中身を消したりできます。設定ファイルや証明書、起動スクリプトを破壊・改ざんされれば、Splunkの停止やさらなる侵入の足場づくりに直結します。認証不要(PR:N)・利用者操作不要(UI:N)でネットワーク越し(AV:N)に成立するため、4件の指標がすべて最悪寄りで、CVSSが9.8まで跳ね上がっています。
CVE-2026-20251: 一般権限のアカウントからサーバーを乗っ取り(安全でないデータ復元)
CVE-2026-20251(CVSS 8.8)は、スマホ連携機能 Splunk Secure Gateway が、設定値などを保存するKVストアのデータを jsonpickle というPythonライブラリで復元する際、安全でない方法を使っていた問題(CWE-502、信頼できないデータの復元)です。jsonpickleは保存したデータを元のオブジェクトに戻すときに任意のコードを走らせてしまう危険が知られており、細工したデータを仕込まれると復元のタイミングで攻撃者のプログラムが実行されます。管理者でも上位ロールでもない 一般権限の利用者でも実行できる点が厄介で、社内に普通のアカウントを1つ持つだけの相手にサーバー乗っ取りを許します。これは データ復元処理を悪用する「デシリアライゼーション」型の攻撃 の典型例です。
影響と対策 早見表
| CVE | CVSS | ログイン要否 | 影響 | 対象 |
|---|---|---|---|---|
| CVE-2026-20253 | 9.8 | 不要 (未認証) | 任意ファイルの 作成・破壊 | Enterprise / Cloud |
| CVE-2026-20251 | 8.8 | 一般権限 でOK | 任意コード実行 (乗っ取り) | Secure Gateway 有効環境 |
記事公開時点で、両CVEとも CISA KEV(実際に攻撃が確認された脆弱性カタログ) への登録や、実際の悪用報告は確認されていません。とはいえ、認証不要のCVE-2026-20253は技術的なハードルが低く、攻撃コードが出回れば一気に狙われる種類のものです。エンタープライズ製品の重大な穴は公開後に悪用が加速する 例が続いており、悪用報告を待たずに更新するのが安全です。
バージョン別、どこまで上げれば直るのか
修正版は出ています。下表のバージョン以降に更新すれば、該当する脆弱性は解消されます。複数の系統(メジャーバージョン)で修正が出ているので、いま使っている系統に合わせて選んでください。
| 製品 | CVE-2026-20253 修正版 | CVE-2026-20251 修正版 |
|---|---|---|
| Splunk Enterprise | 10.2.4 / 10.0.7 | 10.2.4 / 10.0.7 / 9.4.12 / 9.3.13 |
| Splunk Cloud Platform | 10.4.2604.3 / 10.2.2510.14 | 10.3.2512.12 ほか (順次適用) |
| Splunk Secure Gateway(単体) | ─ | 3.10.6 / 3.9.20 / 3.8.67 |
自社運用のSplunk Enterpriseなら、最新の10.2.4、または長期サポート系統の10.0.7へ上げれば2件とも解消します。古い9.x系統を使い続けている場合も、CVE-2026-20251については9.4.12 / 9.3.13で修正が出ています。Splunk Secure Gatewayはアプリ単体でも更新できるので、本体の更新がすぐに難しい環境では、まずSecure Gatewayを3.10.6以降へ上げると、より深刻度の高い乗っ取り経路を先に塞げます。最新の対象バージョンは Splunkのアドバイザリ一覧 で確認してください。
同じ穴が、また開いた──jsonpickleの再発
今回のCVE-2026-20251には既視感があります。Splunk Secure Gatewayでは、2024年12月にも、まったく同じjsonpickleの安全でない復元処理による任意コード実行(CVE-2024-53247、CVSS 8.8)が修正されています。今回はそれと同じ製品・同じライブラリ・同じ攻撃クラス・同じ深刻度の脆弱性が、別の経路で再び見つかった形です。
jsonpickleは、PythonのオブジェクトをJSONとして保存し、あとで元に戻せる便利なライブラリですが、信頼できないデータを復元すると任意コードが走る危険 が以前から指摘されてきました。一度該当箇所を直しても、似た保存・復元処理が製品の別の場所に残っていれば、同じ型の穴がまた開きます。「保存したデータを元に戻す処理」は、入力を信頼した瞬間に乗っ取りの入口になるという教訓は、製品をまたいで繰り返し現れています。Secure Gatewayを業務で使っていない環境では、そもそもこのアプリを無効化しておくのも有効な防御です。
管理者がいま取るべき動き
優先順に整理します。Splunkを運用している組織が対象です。
1. Splunk Enterpriseを修正版へ更新。自社サーバーで動かしているなら、10.2.4または10.0.7以降へ上げれば2件とも解消します。これが本筋の対応です。
2. すぐ更新できないなら、Secure Gatewayを先に手当て。本体の更新に時間がかかる場合は、Splunk Secure Gatewayを3.10.6以降へ上げる、もしくはSplunk Mobile・Spacebridge・Mission Controlを使っていない環境では Secure Gatewayアプリを無効化 して、CVE-2026-20251の乗っ取り経路を塞いでください。
3. PostgreSQLサイドカーの到達範囲を確認。CVE-2026-20253は未認証でネットワークから届く相手が踏めます。Splunkの管理系ポートや内部サービスが、必要以上に広いネットワークから到達できる状態になっていないか、ファイアウォールとネットワーク分離を点検してください。
4. クラウド版利用者は適用状況を確認。Splunk Cloud Platformは原則Splunk側で更新されますが、自社テナントが対象バージョンに上がっているか、Splunkのセキュリティ情報 とサポート窓口で確認しておきましょう。
タイムライン
| 日付 | 出来事 |
|---|---|
| 2024年3月 | CiscoがSplunkの買収を完了(約280億ドル) |
| 2024年12月 | Secure GatewayのjsonpickleによるRCE(CVE-2024-53247)を修正 |
| 2026年6月10日 | NVDにCVE-2026-20253(CVSS 9.8)とCVE-2026-20251(8.8)が登録 |
まとめ、攻撃を見張る監視塔そのものが狙われた
今回の2件で浮き彫りになったのは、社内のあらゆるログが集まるSplunkは、守りの要であると同時に、攻撃者にとって最も価値の高い標的でもあるという構図です。認証なしでファイルを壊せるCVE-2026-20253と、一般権限から乗っ取れるCVE-2026-20251は、性質こそ違えど、どちらも「監視役のサーバーを攻撃の足場に変える」入口になります。見張り役を奪われれば、被害の全容を知る手段ごと失われます。
やるべきことは明快です。Splunk Enterpriseを10.2.4または10.0.7以降へ更新すること、すぐに難しければSecure Gatewayの更新か無効化で乗っ取り経路を先に塞ぐこと、そして内部サービスの到達範囲を点検すること。jsonpickleによる乗っ取りが2年を経て再び現れたことは、一度直した型の穴でも油断できないことを示しています。実際の悪用報告が出る前に、いま手を打っておくのが安全です。
参照元
- ▸NVD - CVE-2026-20253(PostgreSQLサイドカーの認証欠落、未認証ファイル操作)
- ▸NVD - CVE-2026-20251(jsonpickleの安全でない復元、一般権限からのRCE)
- ▸Splunk Vulnerability Disclosure(公式セキュリティ情報)
- ▸Splunk Security Advisories Archive(アドバイザリ一覧)
- ▸Splunk - SVD-2024-1205(2024年のjsonpickle RCE、CVE-2024-53247)
- ▸jsonpickle - 信頼できないデータの復元に関するセキュリティ議論(Issue #335)
- ▸CWE-306 - 重要な機能における認証の欠落
- ▸CWE-502 - 信頼できないデータの復元(デシリアライゼーション)
- ▸Cisco - Splunk買収完了の発表(2024年3月)
- ▸CISA KEV カタログ