【画像】暗いデータセンター内で稼働するクラウドデータベースサーバーと、AIによるコード解析画面を表現したサイバーセキュリティのコンセプト写真、メモリ領域に異常を示す赤い警告光、青を基調とした企業向けニュース画像、実写風、高精細、人物なし、画像内に文字を含めない
Redisに、認証済みの利用者がサーバー上で任意のOSコマンドを実行できる可能性がある脆弱性「CVE-2026-23479」が確認されました。Redis 7.2.0で混入し、2年以上にわたって複数の安定版に残っていたと報告されています。発見したのは、大規模なコードベースを自動調査するAIセキュリティツールです。The Hacker News:Autonomous AI Tool Finds 2-Year-Old RCE Flaw in Redis (CVE-2026-23479)
この記事のポイント
影響のあるシステム
- Redis 7.2.0から7.2.13まで(修正版:7.2.14)
- Redis 7.4.0から7.4.8まで(修正版:7.4.9)
- Redis 8.2.0から8.2.5まで(修正版:8.2.6)
- Redis 8.4.0から8.4.2まで(修正版:8.4.3)
- Redis 8.6.0から8.6.2まで(修正版:8.6.3)
- 攻撃者が認証済みセッションを取得し、CONFIG SET、EVAL、XREAD、XADD、SET、GETなどの必要なコマンドを実行できる環境
- 複数のアプリケーションや運用担当者が、広範な権限を持つ共通アカウントを利用しているRedis環境
推奨される対策
- 利用中の系統に対応する修正版である7.2.14、7.4.9、8.2.6、8.4.3、8.6.3以降へ更新してください。
- Redisをインターネットへ直接公開せず、ファイアウォールやネットワークポリシーで接続元を制限してください。
- すべての接続で強固な認証を使用し、Redis OSSまたはCommunity Editionではprotected-modeが有効であることを確認してください。
- ACLを見直し、単一の利用者や共有アカウントにCONFIG、スクリプト実行、ストリーム操作などの広範な権限を集中させないでください。
- Luaスクリプトを使用していない場合は、EVALなどのスクリプト実行権限を無効化してください。
- 更新までの間はTLSを利用し、共有されているRedisの認証情報を必要に応じて変更してください。
- 不明な接続元、異常なコマンド実行、redis-serverユーザーによるOSコマンド実行、予期しない外部通信やファイル変更がないか確認してください。
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE-2026-23479:Redisのブロックされたクライアントを再処理する仕組みに存在する、Use-After-Freeの脆弱性に付与された識別番号です。
- Redis:データを主にメモリ上で処理するデータストアです。キャッシュ、セッション管理、メッセージ処理などに利用されています。
- RCE:Remote Code Executionの略称です。攻撃者が対象システム上で任意のコードやコマンドを実行できる状態を指します。
- Use-After-Free:解放済みのメモリ領域をプログラムが再び参照してしまう問題です。CVE-2026-23479はCWE-416に分類されています。
- CVSS:脆弱性の深刻度を数値で表す評価方式です。本件はNVDのCVSS 3.1で8.8、Redis側のCVSS 4.0で7.7と評価されています。
- ACL:利用者ごとに、実行できるコマンドやアクセス可能なデータを制御する仕組みです。
- Lua:Redis内で複数の処理をまとめて実行するスクリプト機能に使用されるプログラミング言語です。
- ASLR:プログラムやライブラリを配置するメモリアドレスをランダム化し、攻撃を困難にする防御機能です。
- RELRO:実行ファイル内の一部領域を読み取り専用にし、関数呼び出し先の改ざんなどを防ぐ保護機能です。
認証済み利用者からサーバー侵害につながる可能性
CVE-2026-23479は、Redisが特定の処理を待機しているクライアントを再開させる際に発生するUse-After-Freeの脆弱性です。問題は、ブロックされていたコマンドを再実行する処理の途中でクライアントが解放される可能性があるにもかかわらず、その後も同じクライアントを示すポインターを利用してしまう点にあります。攻撃が成功した場合、Redisが動作しているサーバー上で任意のOSコマンドを実行される可能性があります。
攻撃にはRedisへの認証済みアクセスが必要です。そのため、認証情報を持たない外部の攻撃者が直ちに悪用できる脆弱性ではありません。一方、Redisの初期的な構成や権限管理が適切でない環境では、認証後に必要なコマンドを利用できる可能性があります。公開された攻撃手法では、CONFIG SET、Luaスクリプトを実行するEVAL、ストリームを扱うXREADやXADD、基本的なSETやGETなどの権限が必要とされています。
特に注意が必要なのは、アプリケーションや運用担当者が同じ認証情報を共有し、そのアカウントに管理、スクリプト、ストリーム、読み書きの各権限がまとめて付与されている環境です。Redisをインターネットへ直接公開していない場合でも、アプリケーションサーバーの侵害や認証情報の漏えいを起点として攻撃される可能性があります。ネットワーク上の公開状況だけでなく、認証後に各アカウントが実行できるコマンドまで確認することが重要です。
メモリの再利用を悪用してOSコマンドを実行
公開された攻撃手法は、複数の段階を組み合わせて任意のコマンド実行へつなげるものです。最初にLuaスクリプトを利用してヒープ上のアドレス情報を取得し、その後、クライアントごとのメモリ制限やストリーム処理を操作します。ブロックされていたクライアントが処理の途中で解放される状況を作り、直後に別のデータを送信することで、解放された領域を攻撃者が用意した偽のクライアント構造で再利用させるとされています。
続いて、Redisが通常行うクライアントのメモリ使用量計算を悪用し、攻撃者が制御する値に基づいて本来の範囲外へ書き込みを行わせます。公開された実証では、外部関数の呼び出し先を管理する領域を書き換え、文字列比較関数の呼び出しをOSコマンド実行関数へ向けることで、Redisが次に解析するコマンドをシェルコマンドとして実行させています。
元記事では、Redisの公式Dockerイメージにおいて一部のメモリ保護が限定的であり、実証された攻撃の最終段階を容易にしたと説明されています。また、アドレス空間をランダム化するASLRや位置独立実行形式のPIEが有効でも、公開された手法では攻撃を防げなかったと報告されています。ただし、CONFIGコマンドを禁止すれば公開済みの攻撃経路は妨げられるものの、根本原因であるUse-After-Free自体が修正されるわけではありません。設定変更だけに依存せず、修正版への更新が必要です。
AIが発見した脆弱性と国内組織が確認すべき事項
この脆弱性は、Theoriが開発した自律型AIセキュリティツール「Xint Code」を使用するTeam Xint Codeによって報告されました。元記事によると、問題のある処理は2023年1月と3月に行われた2つのコード変更が組み合わさることで成立しました。それぞれの変更だけでは危険な状態にならなかったものの、両方が含まれたRedis 7.2.0以降で脆弱性として現れ、複数回のセキュリティレビューを経ても2年以上発見されなかったとされています。
動作するリモートコード実行の実証は、2025年12月にロンドンで開催されたWizのハッキング競技「ZeroDay.Cloud 2025」で示されました。Redisは2026年5月5日に修正版を公開し、Redis Cloudについては公式発表時点ですでに修正済みのビルドへ更新したと説明しています。また、発表時点では、Redis自身や顧客環境における悪用の証拠は確認されておらず、一般環境での実際の攻撃についても公表されていません。
一方、詳細な攻撃手法が公開されたことで、今後の悪用リスクが高まる可能性があります。国内組織では、まずRedisのバージョンと設置場所を棚卸しし、インターネットから接続できる環境、広範な権限を持つ共有アカウント、Luaやストリーム機能を利用できるアカウントを優先して確認する必要があります。あわせて、不明な接続元、異常なRedisコマンド、redis-serverユーザーによる予期しないOSコマンド、外部への通信、設定ファイルや永続化データの変更がないかを調査し、修正版への更新後も権限とネットワーク構成を見直すことが重要です。
参考文献・記事一覧
- The Hacker News
- Redis公式セキュリティアドバイザリ
- Redis GitHub Security Advisory
- National Vulnerability Database(NVD)
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
