2025年末、オープンソースのオブジェクトストレージソリューション RustFS において、致命的な認証回避脆弱性 CVE-2025-68926 が公開されました。本脆弱性は CVSS v3.1 基準で 9.8(Critical) と評価されており、認証に使用される静的トークンがソースコード内にハードコードされているという構造的欠陥に起因します。この欠陥により認証メカニズム自体が無力化され、攻撃者がネットワーク経由で RustFS の gRPC ポートにアクセスできる場合、追加のアカウントや認証なしに管理機能へアクセスできてしまいます。RustFS はその特性上、バックアップデータ、ログ、運用データなどの保存に用いられるケースが多く、単一の脆弱性がデータの完全性侵害やサービス障害に直結する可能性があります。
本稿では、オープンソースのオブジェクトストレージソリューション RustFS において発見されたハードコードされた認証情報の脆弱性(CVE-2025-68926)について、技術的な原因と想定される攻撃シナリオを分析するとともに、外部に公開されたストレージサービスがどのように悪用され得るのかを考察します。
CVE-2025-68926 脆弱性の概要と攻撃可能性
- 脆弱性 ID:CVE-2025-68926
- 影響を受ける製品: RustFS
- 脆弱性の種類:Hardcoded Credential (CWE-798)
- CVSS v3.1 スコア: 9.8 (Critical)
- 影響範囲:認証回避、管理機能への不正アクセス
RustFS の内部には、変更不可能な静的認証トークンがクライアント側とサーバー側の両方にハードコードされており、このトークンは設定変更やローテーションができない構造となっていました。さらに、この認証トークンはすべての RustFS 配布環境で共通して有効であったため、ソースコードリポジトリや公開分析資料などを通じてトークンの値が判明した場合、環境を問わず RustFS インスタンスへアクセスできてしまう状況になります。
このような設計は、ハードコードされた認証情報の脆弱性が持つ典型的なリスクをそのまま示しています。認証に用いられる値がコード内に直接埋め込まれ、初期デプロイ後も変更されず、運用者が認証情報を個別に管理できない場合、認証情報の漏えいそのものがサービス全体の露出につながります。特に RustFS の gRPC ベースの管理インターフェースがネットワーク上に公開されている環境では、攻撃者は複雑な回避手法を用いることなくアクセスできるため、攻撃の難易度が大幅に低下します。
想定される攻撃シナリオ
本脆弱性の公開後に想定される攻撃シナリオは、比較的シンプルな流れで成立します。攻撃者はまず、インターネットスキャンを通じて外部に公開されている RustFS の gRPC サービスを特定します。その後、公開されているソースコードや技術的な分析資料から、ハードコードされた静的認証トークンの値を取得し、そのトークンを用いて gRPC ポート経由で正規の認証ユーザーを装ってアクセスします。この段階で、管理系およびストレージ関連の API 呼び出しが可能となります。
このようなアクセスが成立した場合、攻撃者はオブジェクトデータの参照・改ざん・削除、アクセス制御ポリシーの変更、クラスタ構成の変更など、管理者権限レベルの操作を実行できるようになります。RustFS がバックアップデータや業務データを保存するストレージとして利用されている環境では、こうした攻撃は単なるサービス侵害にとどまらず、データ損失や業務停止に直結する可能性があり、影響範囲は非常に大きいと言えます。
Criminal IPを通じて観測された外部公開 RustFS 資産
インターネット上に公開されている RustFS インスタンスの実態を把握するため、RustFS のサービス特性を反映した検索条件を用いて外部公開資産を観測しました。
Criminal IP Search Query: title: “RustFS”
検索の結果、合計252件の RustFS インスタンスが、公衆インターネットを通じてサービスの識別が可能な状態で観測されました。これは、外部からの HTTP(S) 応答を通じて RustFS サービスの存在が確認された事例であり、中国(108件)、タイ(86件)、米国(17件)、ドイツ(8件)、香港(7件)の順に分布していることが分かりました。
外部に公開された RustFS 資産の一例を確認すると、当該インスタンスは TCP 443(HTTPS)ポートで HTTP 200 応答を返しており、Web 応答の <title> 値およびリソースパスから、RustFS の Web コンソール(/rustfs/console)が外部から識別可能な状態であることを確認できます。
応答ヘッダーおよびコンテンツを分析した結果、nginx(1.14.1)ベースの Web サーバーを通じて RustFS 管理 UI に関連する静的リソースが読み込まれており、特段のネットワーク遮断がないまま公衆インターネット経由でサービスを識別できる状態でした。
この事例は、RustFS が本来は内部ストレージ管理用途として設計されているにもかかわらず、設定や運用の過程で管理インターフェースが外部から観測可能な攻撃表面として露出し得ることを示しています。このような環境では、CVE-2025-68926 のように認証メカニズムに構造的欠陥を含む脆弱性が公開された場合、ネットワーク到達性そのものが攻撃可能性を判断する上での重要な要素となり得ます。
パッチ状況および対応策
CVE-2025-68926 脆弱性は、RustFS 1.0.0-alpha.78(2025年12月30日リリース)において修正されたことが確認されています。本パッチでは、gRPC 認証プロセスで使用されていたハードコーディングされた静的認証トークンが削除される、または認証ロジックが変更されており、関連内容は RustFS 公式 GitHub のリリースノートおよびセキュリティアドバイザリで確認できます。
- 影響を受けるバージョン:RustFS alpha.13 ~ alpha.77
- 修正済みバージョン:1.0.0-alpha.78(2025年12月30日リリース)
パッチの詳細な技術的内容および修正点については、RustFS 公式 GitHub のリリースノートおよびセキュリティアドバイザリを参照してください。
公式パッチの適用が困難な環境、またはアップデートが遅延している場合には、以下のような暫定的な対策を実施する必要があります。
- RustFS を最新バージョンへ速やかにアップデートすることを推奨
- gRPC 管理ポートへの外部アクセス遮断、またはネットワーク制限の実施
- 認証関連設定およびトークン管理方式に変更がないかの確認
- API アクセスログおよび不審な挙動に対する継続的なモニタリング
特にハードコーディングされたクレデンシャルに起因する脆弱性の特性上、パッチ適用前のバージョンが外部からアクセス可能な状態で存在する場合、認証の有無にかかわらず即時に攻撃が成立する可能性があります。そのため、ネットワークレベルでの遮断とバージョンアップを最優先で実施することが重要です。
FAQ
Q1. CVE-2025-68926(RustFS ハードコーディング・クレデンシャル脆弱性)は、なぜ CVSS 9.8 と評価されたのですか?
CVE-2025-68926 は、RustFS の gRPC 認証プロセスにおいてハードコーディングされた静的認証トークンが使用されていた構造的な欠陥を含んでいます。この認証トークンはすべてのデプロイ環境で共通して有効であったため、極めて高いリスクを持つと判断されました。この欠陥により、攻撃者はアカウント作成や追加の認証手続きなしに管理機能へアクセスでき、ネットワーク接続が可能な状態であれば、オブジェクトデータの削除、ポリシー変更、クラスター構成の操作など、管理者権限レベルの操作を実行できる可能性があります。
これらの特性から、本脆弱性はリモート攻撃の成立性、攻撃難易度の低さ、影響範囲の広さのすべてにおいて極めて深刻と判断され、CVSS 9.8(Critical)が付与されています。
Q2. RustFS の脆弱性は、パッチ適用だけで十分ですか?攻撃対象領域管理(ASM)が必要な理由は何ですか?
RustFS を 1.0.0-alpha.78 以降にアップデートすることは、CVE-2025-68926 対応の必須条件です。しかし、外部からアクセス可能な旧バージョンのインスタンスが残存している場合、パッチ適用前の環境は依然として攻撃対象となり得ます。
そのため、組織内における RustFS の利用状況を正確に把握し、インターネットから到達可能なインスタンスが存在しないかを併せて確認することが重要です。このような観点から、単なるパッチ管理にとどまらず、攻撃対象領域管理(ASM)による継続的な可視化とモニタリングが不可欠となります。
結論
CVE-2025-68926 は、ハードコーディングされた認証情報という基本的なセキュリティ設計上の問題が、オブジェクトストレージのような中核インフラにおいて、いかに深刻な影響をもたらすかを示す代表的な事例です。
RustFS を利用している、あるいは外部からアクセス可能なストレージサービスを運用している組織においては、単なるパッチ適用にとどまらず、インターネットから識別可能な資産やサービスの露出状況を併せて点検することが重要です。脆弱性情報と外部観測データを組み合わせた脅威インテリジェンスの観点からの分析は、実際の攻撃成立可能性を判断するうえで、重要な指標となります。
関連事例として、n8nワークフロー自動化プラットフォームにおけるリモートコード実行脆弱性(CVE-2025-68613) に関する記事も併せて参照してください。
また、下記ボタンよりデモをご要望いただくことで、外部に露出した資産に対する脅威インテリジェンス(TI)分析および Criminal IP のデモを直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース : Criminal IP (https://www.criminalip.io/ja), NIST National Vulnerability Database(https://nvd.nist.gov/vuln/detail/CVE-2025-68926), The Hacker News(https://thehackernews.com/2026/01/threatsday-bulletin-rustfs-flaw-iranian.html), RustFS GitHub Releases(https://github.com/rustfs/rustfs/releases)
