Apache ActiveMQ に不適切な入力検証の脆弱性(CVE-2026-34197)— コード注入のおそれ、是正期限は4月30日
Apache のメッセージ中継基盤 ActiveMQ に、入力の検証が不十分なことに起因する脆弱性が見つかりました。コード注入(外部から不正な命令を送り込む手口)につながるおそれがあります。
脆弱性の基本情報
- CVE番号CVE-2026-34197
- CVSS基本値8.8 HIGH
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)Apache ActiveMQ
- CWECWE-20, CWE-94
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-04-30(米連邦民生機関・BOD 22-01)
要点
ActiveMQ は、複数のシステムやアプリケーションの間でメッセージ(データのやり取り)を中継する基盤ソフトウェアです。注文処理や通知、システム連携など、裏側で多くの業務をつなぐ「土台」として広く使われています。今回の CVE-2026-34197 は、この ActiveMQ が外部から受け取った入力を十分に検証しないという不備(不適切な入力検証)に関するものです。
入力検証が不十分だと、本来想定していない形のデータを受け付けてしまい、攻撃者が不正な命令を紛れ込ませるコード注入につながるおそれがあります。ActiveMQ は多くのシステムをつなぐ中継地点に位置するため、ここが影響を受けると、連携する複数のシステムへ波及する可能性がある点が注目されます。NVD 公式の深刻度評価は CVSS v3.1 で 8.8(HIGH)とされています。
オープンソースの基盤コンポーネントは多くの組織で共通して使われるため、攻撃の対象として狙われやすい傾向があります。CISA は連邦民間機関向けの指令 BOD 22-01 に基づき、ベンダー(Apache)の指示に従った緩和の適用を求めており、緩和を適用できない場合は当該製品の使用を中止することとされています。是正期限は2026年4月30日です。
なぜ重要か
ActiveMQ は複数の業務システムをつなぐ中継基盤として広く使われるため、影響を受けると連携先の複数システムへ波及する可能性があります。深刻度は CVSS 8.8(HIGH)と高く、CISA は是正期限を2026年4月30日と定めています。基盤コンポーネントの位置づけから、対応の優先度が高い案件として扱われます。
よくある質問(FAQ)
ActiveMQ とは何ですか。
コード注入とは何ですか。
求められている対応は何ですか。
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。