トップ/記事一覧/セキュリティ監視ツール『Wazuh』に危険度10.0の脆弱性、ログインなしで記録を改ざん CVE-2026-56699、5.0ベータ版は即更新を
wazuh-cve-cover-ja

セキュリティ監視ツール『Wazuh』に危険度10.0の脆弱性、ログインなしで記録を改ざん CVE-2026-56699、5.0ベータ版は即更新を

オープンソースのセキュリティ監視ツール「Wazuh」の管理サーバーに、危険度が最大値10.0の脆弱性CVE-2026-56699が見つかりました。ログイン不要で警告の記録を削除・改ざんでき、攻撃の痕跡消しに悪用される恐れがあります。影響は5.0のベータ版のみで安定版4.xは対象外。該当者は5.0.0-beta3へ即更新を。

ニュース2026年7月15日公開 本日更新
目次
この記事のポイント

オープンソースのセキュリティ監視ツール「Wazuh」の管理サーバーに、危険度が最大値10.0の脆弱性CVE-2026-56699が見つかりました。ログイン不要で警告の記録を削除・改ざんでき、攻撃の痕跡消しに悪用される恐れがあります。影響は5.0のベータ版のみで安定版4.xは対象外。該当者は5.0.0-beta3へ即更新を。

組織のサーバーやパソコンを見張り、不審な動きを記録して知らせる「セキュリティ監視ツール」として世界中で使われているWazuh(ワズー)に、危険度が最大値の脆弱性が見つかりました。CVE-2026-56699という番号が付けられ、深刻度を示すスコア(CVSS)は10段階中の満点にあたる10.0。ログインなしで、監視が残した警告の記録を消したり書き換えたりできてしまう問題です。

ただし、最初にはっきりさせておきます。影響を受けるのは、まだ試験公開中の新バージョン「5.0」のベータ版(beta1・beta2)だけです。多くの現場が本番で動かしている安定版の4.x系はこの脆弱性の対象外で、あわてて何かをする必要はありません。問題は5.0.0-beta3で修正済みで、5.0を先取りして評価・検証している人だけがすぐに更新すればよい、という整理になります。

この記事では、Wazuhとは何か、なぜ「満点の10.0」なのか、誰が何のために狙う穴なのか、そして自分が影響を受けるのかどうかの見分け方までを、専門知識がなくてもわかるように順に説明します。

Wazuhとは何か。なぜ「満点の10.0」が重いのか

Wazuhは、社内のサーバーやパソコンから集めたログ(動作の記録)を分析し、「誰かが不正にログインしようとした」「見慣れないプログラムが動いた」といった危ない兆候を見つけて知らせる、オープンソースのセキュリティ監視ソフトです。世の中ではSIEM(シーム)XDRと呼ばれる分野の製品で、平たく言えば「攻撃に気づくための見張り役」を担います。無料で使えて改造もできるため、企業のセキュリティ担当部門(SOC)や情報システム部門で広く採用されています。

その規模は小さくありません。開発元のGitHubページには約1万6千個の「スター(お気に入り)」が付き、年間のダウンロードは数千万回にのぼります。日本国内でも、ジュピターテクノロジーなどが日本語での導入支援や商用サポートを提供しており、セキュリティの実務者にはよく知られた存在です。

脆弱性の深刻さは、CVSS(共通脆弱性評価システム)という国際的なものさしで0.0〜10.0の数値に表されます。10.0は最も危険なランクで、「ネットワーク越しに」「ログインなしで」「簡単に」悪用でき、しかも情報の漏れ・改ざん・破壊のすべてが起きうる、という条件がそろったときにだけ付く点数です。今回のCVE-2026-56699は、その満点をCVSS 3.1・4.0のどちらの計算方式でも記録しました。厄介なのは、攻撃を見張るための道具そのものが、攻撃者に踏み台として悪用されかねない点です。

脆弱性の概要

CVE-2026-56699:監視サーバーが警告の記録を改ざんされる

今回の脆弱性は、Wazuhの中心となる「管理サーバー(Wazuh Manager)」にあります。各パソコンやサーバーに入れた小さな見張り役(エージェント)が送ってくるデータの一部を、管理サーバーが十分に点検せずに処理してしまうため、細工したデータを送り込むだけで記録の削除や書き換えができてしまう、というものです。要点を下の表にまとめます。

項目内容
CVE番号CVE-2026-56699
危険度(CVSS)10.0 / 10.0(最大)
3.1・4.0とも同点
対象Wazuh Manager
(管理サーバー)
影響バージョン5.0.0-beta1 / beta2
修正バージョン5.0.0-beta3
安定版4.x影響なし
問題の種類データの取り扱い不備
(CWE-74 / 93 / 863)
ログイン不要
(初期設定が前提)
悪用の報告現時点で確認なし
(実証コードは公開済み)

脆弱性を見つけて報告したのはTarPeg007氏、修正を担当したのは開発者のjuliancnn氏です。発見から修正、番号の割り当てまでの詳しい経緯は、脆弱性データベースを運営するVulnCheckの解説にまとまっています。

誰が何のために狙うのか

数字やアルファベットの分類コードを並べても、「自分に関係あるのか」はなかなか伝わりません。この穴を悪用するのはどんな相手で、何をして、その結果どうなるのかを整理します。

まず狙うのは、外部からWebサイトを片っ端から攻撃するような相手ではありません。想定されるのは、Wazuhで自分たちを見張っている組織に、すでに何らかの形で入り込んだ攻撃者です。侵入したはいいものの、その動きはWazuhの監視網に記録されている——そこで次の一手として、この脆弱性が使われます。

攻撃者がここで行うのは、自分の侵入を示す警告の記録を消し、監視の目をふさぐことです。管理サーバーに細工したデータを送り込み、蓄積された警告ログを削除したり書き換えたりする。さらに、監視画面(ダッシュボード)に不正な仕掛けを埋め込むこともできると報告されています。見張り役のノートに、都合の悪いページだけ後から破り取られるようなイメージです。

被害は二段構えになります。監視ツールを運用する企業・組織にとっては、侵害された証拠そのものが消されるのが最大の痛手です。攻撃に気づく手がかりが失われ、被害の全容調査(フォレンジック)ができなくなり、侵入者に居座られても発見が遅れます。そしてそのサービスを利用するエンドユーザーにとっては、自分の情報が守られているはずの「見張り役」が無力化されていた、という形で間接的に影響が及びます。だからこそ、次に説明する「自分が対象かどうか」の見分けが重要になります。

何が起きているのか。仕組みを分解する

ここからは、少し技術寄りの説明です。仕組みを知りたい方向けなので、対策だけ知りたい方は読み飛ばして構いません。

Wazuhの新バージョン5.0では、各エージェントが集めた情報(インベントリ)を管理サーバーに送り、それをデータ検索基盤のOpenSearchへまとめて書き込む「inventory_sync」という仕組みが動いています。このとき、エージェントが送ってくるDataValue.indexという項目を、管理サーバーが中身を点検・無害化せずにそのまま書き込み命令(OpenSearchの一括処理リクエスト)に埋め込んでいました。

この書き込み命令は「NDJSON」という、1行に1件のデータを並べる素朴な形式でできています。ここに攻撃者が改行や記号を紛れ込ませると、本来1件だったはずのデータの後ろに、「この記録を消せ」「この記録を書き換えろ」といった別の命令を勝手に継ぎ足せてしまいます。文章の途中に改行と新しい命令文を差し込んで、文の意味ごとすり替えるようなものです。専門的には、出力データの特殊文字を正しく処理していない不備(CWE-74)に、改行を悪用する手口(CWE-93)と権限管理のずれ(CWE-863)が重なった形とされています。

しかも、この継ぎ足された命令は管理サーバーが持つ強力な管理者権限(初期設定ではすべての操作が許された権限)で実行される点が深刻です。攻撃者自身は大きな権限を持たなくても、権限を持つ管理サーバーに命令を代行させられる——セキュリティの世界で「confused deputy(勘違いした代理人)」と呼ばれる構図で、先日報じた監視ツールGrafanaの連携ソフトmcp-grafanaの脆弱性と同じ根っこの問題です。

もう一つの前提が「ログイン不要」の意味です。Wazuhはエージェントを管理サーバーに登録する仕組みを持ちますが、初期設定(use_password=no)ではパスワードなしの匿名登録が許されています。つまり、管理サーバーの登録用ポート(TCP 1515)と通信用ポート(TCP 1514)に届く位置に攻撃者がいれば、正規のアカウントを持たなくても偽のエージェントとして登録し、細工データを送り込めてしまう、というのが「認証不要」の中身です。裏を返せば、これらのポートを外部に開けていないことが、事実上の防波堤になります。

自分は影響を受けるのか。バージョン別の早見表

この脆弱性で最も大事なのは、「自分の使っているWazuhが対象か」の一点です。結論から言うと、本番運用の主流である4.x系を使っているなら、今回は無関係です。下の表で自分の状況を確認してください。

使っているバージョン影響やるべきこと
4.x系(安定版)影響なし対応不要
(通常の更新は継続を)
5.0.0-beta1影響ありbeta3へ即更新
5.0.0-beta2影響ありbeta3へ即更新
5.0.0-beta3以降修正済み対応不要

なお、影響ありに該当する場合でも、実際に悪用が成立するには「管理サーバーの登録用・通信用ポートに攻撃者が到達できること」が前提になります。社内ネットワークの奥に置き、外部にポートを公開していない構成なら、悪用のハードルはそのぶん上がります。とはいえ内部からの攻撃や、いったん社内に侵入された後の展開までは防げないため、該当バージョンなら更新するのが最も確実です。

発見から公開までの経過

この脆弱性は、修正が済んでから正式な番号が付くまでに約1か月あります。その間に実証コードが出回っているため、時系列を押さえておくと状況を判断しやすくなります。

← スワイプで移動

今すぐやるべきこと

対応は難しくありません。Wazuh 5.0のベータ版を試している場合は、5.0.0-beta3以降へ更新する。これだけで今回の問題は解消します。更新手順や変更点はWazuh公式ドキュメントのリリースノートで確認できます。

あわせて、バージョンにかかわらず点検しておきたい設定が2つあります。1つはエージェント登録に認証を要求すること。初期設定の匿名登録(use_password=no)をやめてパスワードを必須にすれば、偽エージェントの登録そのものを止められます。もう1つは管理サーバーの通信ポート(TCP 1514・1515)を外部に公開しないこと。この2点は今回の脆弱性に限らず、Wazuhを安全に運用するうえでの基本になります。

Wazuhのように無料で使えるオープンソースのソフトは、導入が手軽な一方で、修正情報を自分で追い続ける必要があります。どのオープンソース部品にどんな脆弱性が出ているかをまとめて点検したいときは、オープンソースの安全性を確認する方法をまとめた記事もあわせて参考にしてください。

本番環境はほぼ無関係。それでも今知る意味

改めて整理します。今回のCVE-2026-56699は危険度こそ満点の10.0ですが、影響するのは試験公開中の5.0ベータ版だけで、実際に悪用された報告も今のところありません。多くの現場にとっては「あわてる必要のないニュース」です。

それでも取り上げるのは、動く実証コードがすでに公開されており、Wazuh 5.0は今後の本命バージョンだからです。5.0への移行を検討している組織は、この穴が「なぜ満点になったのか」を今のうちに理解しておくと、移行時の設定確認に役立ちます。攻撃を見張る道具が、逆に痕跡消しの道具に変わりうる——という構図は、監視ツール全般に通じる教訓でもあります。

当ブログでは、同じように監視・ログ収集の道具に見つかった脆弱性を継続して追っています。ログイン不要で乗っ取られる恐れが指摘された監視ツールSplunkの事例ネットワーク監視ツールCactiの事例ログ収集ソフトFluentdの事例も、あわせて確認しておくと、この分野で繰り返し起きる問題のパターンが見えてきます。

よくある質問

Q. 会社で使っているWazuhが4.xなら、何もしなくていい?

A. 今回のCVE-2026-56699に関しては対応不要です。影響するのは5.0のベータ版だけで、4.x系は対象外です。ただし通常のセキュリティ更新は続けてください。

Q. 「危険度10.0」なのに、あわてなくていいのはなぜ?

A. 10.0はあくまで「もし悪用されたらどれだけ危ないか」を示す点数で、対象範囲の広さとは別物です。今回は影響範囲がベータ版に限られ、実際の悪用も確認されていないため、多くの人にとっては急ぐ必要がありません。

Q. 個人のパソコンは狙われる?

A. Wazuhは主に企業や組織のセキュリティ監視に使われるソフトで、個人が単体で使うことはまれです。狙われるのは監視サーバーであり、一般の消費者が直接被害を受けるものではありません。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go