概要

Ghost CMS(バージョン3.24.0〜6.19.0)のContent APIに存在するSQLインジェクション脆弱性CVE-2026-26980(CVSSスコア9.4)が攻撃者に悪用され、世界中の700以上のウェブサイトが侵害された。パッチは2026年2月16日〜19日に6.19.1としてリリースされていたにもかかわらず、更新を怠ったサイトが大量に攻撃対象となった。中国のセキュリティ企業QiAnXin XLabが5月7日に大規模キャンペーンを検出し、5月25日に公開報告した。被害サイトにはハーバード大学、オックスフォード大学、オーバーン大学、DuckDuckGoといった著名な組織が含まれており、教育機関・テック企業・メディア・フィンテック企業など多岐にわたるセクターに影響が及んだ。被害サイトの約半数は個人ブログだった。

脆弱性の詳細と攻撃手法

CVE-2026-26980は認証不要のSQLインジェクション脆弱性であり、攻撃者はGhostのデータベースから任意のデータを読み取ることができる。実際の攻撃では以下の4段階のプロセスが確認されている。

  1. Admin APIキーの窃取: 未認証の状態でContent APIを通じてSQLインジェクションを実行し、データベースから管理者APIキーを抽出する。
  2. 悪意あるJavaScriptの注入: 取得したAdmin APIを使用してGhost Admin APIを呼び出し、公開済み記事に二段階ローダー型の悪意あるJavaScriptを埋め込む。
  3. 外部ペイロードの取得: ローダースクリプトが外部ドメイン(clo4shara[.]xyz/11z77u3.php)から追加コードを取得し、訪問者のフィンガープリントを収集する。
  4. ClickFix攻撃の実行: 訪問者に偽のCAPTCHAまたはCloudflare検証ページを表示し、Base64エンコードされたコマンドをWindowsの実行ダイアログに貼り付けるよう誘導する。これによりZIPアーカイブがダウンロードされ、バッチスクリプトがDLLローダー、JavaScriptドロッパー、またはElectronベースのマルウェア(UtilifySetup.exe)を端末に展開する。

脅威グループの動向と被害拡大の背景

調査によれば、少なくとも2つの異なる脅威グループが同一ターゲットを狙って同じ日に競合するように攻撃を展開しており、感染サイトの一部は複数グループによって同時に侵害されていた。DLLのコンパイルタイムスタンプがパッチ公開日と一致しているという報告もあり、攻撃者は脆弱性情報の公開直後から攻撃ツールを整備していた可能性がある。

パッチ公開から約3ヶ月が経過した5月になって大規模被害が顕在化した背景には、セルフホスト型CMSにおける更新適用の遅延という根本的な課題がある。QiAnXin XLabは侵害された組織への通知を行ったが、その大半が対応を無視したと報告しており、インシデントレスポンスの軽視が被害を長期化させた。

推奨対策

Ghost CMSを運用するすべての組織は、直ちに以下の対策を実施する必要がある。

  • バージョン6.19.1以降へのアップグレード: パッチ未適用のインスタンスは引き続き攻撃対象となる。
  • 全認証情報のローテーション: Admin APIキーを含むすべての認証情報を再発行する。
  • 悪意あるコードの除去: 公開記事に注入されたJavaScriptローダーを特定・削除する。
  • アクセスログの監査: 侵害期間中の不審なAPIコールや外部通信を精査する。
  • 訪問者への通知: 感染期間中にサイトを訪問したユーザーへ注意喚起を行う。