概要
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、DrupalコアのSQLインジェクション脆弱性CVE-2026-9082を既知の悪用脆弱性カタログ(KEV)に追加し、拘束的運用指令(BOD)22-01に基づいて連邦民間行政機関(FCEB)に対して2026年5月27日深夜までのパッチ適用を命令した。CISAは同時に、民間組織に対してもKEVカタログを参照し、優先的に修正対応を行うよう呼びかけている。本脆弱性はGoogle/Mandiantの研究者Michael Maturi氏によって発見されたもので、CISAのKEVカタログに登録されたDrupal関連の脆弱性としては5件目にあたり、過去の2件はランサムウェアキャンペーンに悪用された経緯がある。
脆弱性の技術的詳細
CVE-2026-9082はDrupalのデータベース抽象化APIに存在するSQLインジェクション脆弱性で、PostgreSQLを使用するDrupalサイトが影響を受ける。同APIはデータベースクエリのサニタイズを担う機能だが、細工されたリクエストを送信することで認証なしにSQLインジェクションが可能になる。悪用に成功した場合、情報漏洩・権限昇格・リモートコード実行(RCE)につながる可能性がある。
影響を受けるバージョンは以下の通り:
- Drupal 11(11.3.10 / 11.2.12 / 11.1.10 で修正済み)
- Drupal 10(10.6.9 / 10.5.10 / 10.4.10 で修正済み)
- Drupal 9.5 および Drupal 8.9(手動パッチ適用が必要)
Drupalは2026年5月20日にセキュリティパッチをリリースしたが、その48時間後の5月22日にはすでに積極的な悪用が確認されている。
攻撃の規模と標的
セキュリティ企業Impervaの分析によると、脆弱性の公開後に65か国にまたがる約6,000サイトを標的とした15,000件以上の攻撃試行が観測された。攻撃の約50%はゲーム業界と金融サービス業界に集中しており、初期段階では脆弱なPostgreSQL構成のDrupalサイトを識別するための偵察・検証活動が中心だったとされる。Shadowserverの調査では、パッチ未適用のDrupalインスタンスが依然として約670件オンライン上に存在しており、北米(272件)と欧州(273件)に集中していることが判明している。
対応と推奨事項
連邦機関はBOD 22-01の規定により期限内の対応が義務付けられているが、民間企業・組織においても速やかなパッチ適用が強く推奨される。特にPostgreSQLバックエンドで運用するDrupalサイトは優先度を高く設定すべきで、パッチ適用が直ちに困難な場合はDrupal 9.5・8.9向けに公開されている手動パッチの検討が必要となる。本件は公開からわずか48時間以内に攻撃が始まるという迅速な悪用サイクルを示しており、脆弱性管理における迅速なパッチ適用プロセスの重要性を改めて浮き彫りにしている。