テクノロジー

cPanelの認証バイパスで7,000万サイトが誰でも入れる状態に──緊急パッチ公開

パッチ公開時点ですでに攻撃が進行しており、大手ホスティング各社は管理ポートを一時遮断して更新を展開した──インターネットの残り半分はまだ追いつこうとしている段階である。
cPanelの認証バイパスで7,000万サイトが誰でも入れる状態に──緊急パッチ公開
cPanel bug
Susan Hill
2026.04.29

cPanelとWHMの重大な認証バイパス脆弱性により、攻撃者はインターネット上に公開された任意のコントロールパネルへ、ユーザー名もパスワードもなしに「正面玄関から」侵入できる状態にあった。CVE-2026-41940として登録されたこの欠陥のCVSSスコアは10点満点中9.8で、サポート対象のすべてのバージョンに影響し、世界で約7,000万のドメインを管理する。セキュリティ研究者によれば緊急パッチが配布された時点で既に実際の攻撃が進行していた──多くのホスティング業者にとって、もはや「自社サーバーが脆弱だったか」ではなく、「更新を当てる前に侵入されていたか」が問題となる。

脆弱性はcPanelのセッション読み込み・保存ロジックに存在し、内部識別子はCPANEL-52908である。実際には、攻撃者が不正な形式のログインリクエストを送信するだけで、自分が認証していないアカウントの有効なセッション認証情報を取得できた──最悪の場合はWHMのroot権限まで及ぶ。WHMはサーバー側のダッシュボードで、ホスティングアカウント、メール経路、SSL証明書、データベースサービスを統括する役割を持つ。緊急修正が必要となったバージョン系統は6つで、11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20, 11.136.0.5である。サポート期限切れのcPanelバージョンを動作させているサーバーにはパッチが提供されないため、既に侵害されたものとして扱う必要がある。

cPanelは、消費者向けウェブの大部分を支える共有ホスティング基盤の標準的なコントロールパネル層である。1台のcPanelサーバーへの侵入が成功すると、その下流にある数千のサイト──同マシン上の全ドメイン、メール、データベース、顧客ファイル──にまで影響が連鎖しうる。watchTowr Labsの研究チームは、影響を受けたシステムを「インターネットのかなりの部分の管理プレーン」と表現し、ホスティング事業者のKnownHostは、いかなる公開アラートが出る前から既に実際の攻撃が進行していたことを認めている。

Hexstrike-AI:自律型ゼロデイ脆弱性悪用の夜明け

プラットフォーム上で最大級のリセラーホストの一社であるNamecheapは、パッチ展開中、全顧客に対してcPanelとWHMのウェブ入口ポートである2083番および2087番へのアクセスを一時的に遮断するという異例の措置をとった。同社のReseller帯およびStellar Business帯にアップデートが行き渡った時点で、プラットフォームは外部から見れば数時間にわたって事実上停止していた。他の大手プロバイダーも類似の勧告を出し、自動メンテナンス窓を待たずに更新を強制するためroot権限で/scripts/upcp –forceを実行するよう顧客に推奨した。

警告には注釈が必要だ。cPanel自身はこの脆弱性に関する深い技術詳細を公表しておらず、公開分析の大半は外部の研究者がパッチをリバースエンジニアリングしたものであり、攻撃に必要な正確な条件は依然として一部覆われている。「7,000万ドメイン」という数字はcPanel自社のマーケティング資料に古くから記載される推計で、1台のパネルサーバーが数千サイトを扱う共有ホスティングのアカウントも含む──実際に影響を受けたユニークなサーバー台数はそれよりはるかに少ない。そしてパッチ公開前から攻撃が確認されているにもかかわらず、このCVEに紐づく大規模な公的侵害は今のところ公表されていない──今後数週間でフォレンジック調査の終結に伴って状況は変わるかもしれず、変わらないかもしれない。

今回の出来事は、セキュリティ研究者が長年指摘してきたパターンに一致する。消費者ホスティングの管理レイヤーは、インターネット上で最も価値が高く、同時に最も監視が薄い標的の一つである。コントロールパネルの単一コンポーネントの欠陥が、防御が手薄な数千の中小企業サイトや個人サイトの鍵を一度に攻撃者に渡してしまう──複雑な攻撃チェーンを必要とせずに、である。cPanelクラスのソフトウェアにおける認証バイパスのバグは闇市場で高値で取引され、開示から完全なパッチカバレッジまでの空白は、管理されていない独立サーバーでは数週間単位で計測される──公衆のニュースサイクルがとっくに次の話題へ移った後にである。

cPanelは緊急パッチを4月28日に公開し、Namecheapと他の大手プロバイダーは4月29日の早い時間帯に展開を完了した。cPanelまたはWHMサーバーの管理者は、自分が修正済みビルドのいずれかで稼働しているかを直ちに確認すべきである。パッチ公開前の数日間に脆弱なバージョンをインターネット公開で運用していたサーバーは、潜在的に侵害されたものとして扱うこと。cPanelは公開的な事後報告書の発行を約束していない。

関連記事

「アシュレイ・マディソン: セックスと嘘とスキャンダル」はNetflixで公開されている、インターネット上で最も有名な不倫サイトの盛衰を描いたドキュメンタリーです。

「アシュレイ・マディソン: セックスと嘘とスキャンダル」はNetflixで公開されている、インターネット上で最も有名な不倫サイトの盛衰を描いたドキュメンタリーです。

ディープシークV4、GPT-5の5分の1価格でエヌビディア不要

ディープシークV4、GPT-5の5分の1価格でエヌビディア不要

Netflixの新ドキュメンタリー、バイラルジョークが国家安全保障問題になった経緯を記録

Netflixの新ドキュメンタリー、バイラルジョークが国家安全保障問題になった経緯を記録

フランス政府、250万台のPCをWindowsからLinuxへ移行命令——欧州デジタル主権の転換点

フランス政府、250万台のPCをWindowsからLinuxへ移行命令——欧州デジタル主権の転換点

アップル、TinyGPU公式承認でMac Miniが本格AI端末に

アップル、TinyGPU公式承認でMac Miniが本格AI端末に

グループチャットの飼いならし:WhatsAppはいかにして私たちのデジタルな社会生活を設計しているか

グループチャットの飼いならし:WhatsAppはいかにして私たちのデジタルな社会生活を設計しているか

ディスカッション

0件のコメントがあります。