CVE-2026-10177 Aider-AIにSSRF脆弱性発覚 AWS EC2メタデータ経由の攻撃リスクとAI Security対策ガイド

結論

• 危険度: Medium (CVSS 6.3)
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-31 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	2分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-10177はAider-AI製品のバージョン0.86.3に存在する脆弱性です。攻撃者は認証や操作不要で、AWS EC2メタデータエンドポイントを悪用したSSRF（サーバサイドリクエストフォージェリ）攻撃をリモートから実行できます。LLMゲートウェイやAIアプリケーション運用者にとって重要な対策対象です。

やさしく説明すると

この脆弱性は、例えるなら「建物の中から外への送信を許す電話機が勝手に悪用される」ようなものです。攻撃者はこの電話機を使い、内部の重要な情報にアクセスしたり悪意ある通信を送り込めます。発見されてすぐに公開されているため、放置すると被害が拡大します。

技術的な原因

本脆弱性はCWE-918「サーバサイドリクエストフォージェリ（SSRF）」に分類されます。SSRFは、サーバ自身が外部や内部に対して不正なリクエストを送る攻撃です。今回の脆弱性はAiderのapi_docs.pyのrequests.get関数でAWS EC2のメタデータエンドポイント取得処理に不備があり、不正なリクエスト改変が可能になることで発生します。

影響を受けると何が困るか

• 攻撃者は内部のAWS EC2メタデータサービスにアクセスでき、APIキーなどの認証情報を窃取できる
• その結果、OpenAIやAnthropicなどのAPIキー漏洩による悪用リスクが増大する
• LLMのプロンプトやコンテキスト情報を不正に奪取され、機密情報漏洩が起きる
• AI GatewayやAgent環境の乗っ取り・不正操作につながる恐れがある
• 請求コストの異常増加やテナント間の情報漏洩事故のリスクが高まる
• バイブコーダーやCopilot等のAI開発ツール経由での侵害可能性がある

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVSS v3.1スコアは 6.3（Medium、実務的には「高度な悪用は難しいが無視できない」レベル）
• EPSSスコアは提供されていません（悪用予測データなし）
• ランサムウェア悪用は現時点で不明（公式情報なし）
• 公開されたPoCやexploitコードは確認されていません（危険度は中程度）
• 攻撃条件はネットワークから可能で認証は不要だが、攻撃者は低権限権限（PR:L）を持つ必要がある
• ユーザ操作は不要（UI:N）だが、スコープは限定的（S:U）で大規模被害化は起きにくい

誰が動くべきか

• LLM Gateway運用チーム（Aider利用者含む）
• Agentフレームワーク開発者（AWS上でAider連携している場合）
• AIコーディングツールやバイブコーダーツール開発者（APIキー管理にかかわる場合）
• MLインフラチームでAWS EC2メタデータを扱う製品管理者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
Aider-AI Aider	0.86.3	ベンダーアドバイザリ参照

バージョン確認コマンド

Python（pip）

pip show aider

出力例:

Name: aider
Version: 0.86.3
Summary: AI assistant tooling

判定: Version: 0.86.3 の場合は脆弱です。これより新しいバージョンなら安全。

Python（pip list + grep）

pip list | grep aider

出力例:

aider        0.86.3
other-package 1.2.3

判定: aider 0.86.3があれば脆弱。アップデート必須。

設定確認

本脆弱性は特定の設定によるものではなくソフトウェア内部のAPI呼び出しに起因します。そのため、設定を変えただけでは脆弱性を回避できません。バージョン確認で対象であれば脆弱です。

Nucleiテンプレートでの検出

公開されているNucleiテンプレートは現時点ではありません。検出はバージョン確認により行ってください。

STEP 4: 修正を適用する

パッチ適用

Python（pipによるアップグレード）

pip install --upgrade aider

出力例:

Successfully installed aider-0.86.4

判定: バージョンが 0.86.4 以上であれば安全です。

注意: アップグレード前に必ず環境のバックアップとステージング環境での動作検証を実施してください。運用停止やサービス停止時間が必要な場合は計画的に対応してください。

パッチ即時適用ができない場合の暫定対応

公式からの暫定対応は公開されていません。可能な限りネットワークのアクセス制御やWAFルール追加でAWSメタデータエンドポイントへの不正リクエストを遮断してください。

STEP 5: 修正されたことを確認する

STEP 3で紹介したバージョン確認コマンドを再度実行してください。

期待される出力

Python（pip show）

pip show aider

出力例:

Name: aider
Version: 0.86.4
Summary: AI assistant tooling

判定: バージョンが 0.86.4 以上なら修正済みで安全です。

追加で確認すべきこと

• 可能なら修正後にログを監視し、不審なAWS EC2メタデータアクセスがないか確認する
• 将来的にNucleiテンプレートや脆弱性検出ツールが公開された場合、それらで再スキャンを推奨

補足: 悪用観測状況

現時点でCISA KEVカタログには本脆弱性は未登録です。公開されているPoCコードやExploit Databaseにも該当がなく、悪用の報告はありません。ただし、脆弱性の詳細や影響範囲から今後悪用される可能性はあるため監視が必要です。

補足: CVSSメトリクス詳細

• AV: NETWORK（攻撃元はネットワーク）
• AC: LOW（攻撃の難易度は低い）
• PR: LOW（低い権限者でも攻撃可）
• UI: NONE（ユーザ操作不要）
• S: UNCHANGED（攻撃はシステムのスコープ外）
• C: LOW（機密性影響は低い）
• I: LOW（完全性影響は低い）
• A: LOW（可用性影響は低い）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で自環境のバージョンを確認し、0.86.3であればSTEP 4でパッチを適用してください。

Q. パッチが適用できない場合、どうすればよいですか？

A. ネットワークでAWS EC2メタデータエンドポイントへのアクセス制御を強化したり、WAFやIPSで通信をブロックして攻撃を防ぐ暫定対応をおすすめします。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. ログ監視で疑わしいAWSメタデータへのアクセスを探し、不正アクセスの兆候をチェックしてください。専用のIOCは公開されていません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の技術的な重大度を示しますが、EPSSは実際に攻撃に使われる確率を表します。両者を合わせて優先度判断すると効率的です。

Q. このCVEと類似の脆弱性は他にもありますか？

A. 同じくCWE-918のSSRF脆弱性は多くのソフトウェアで見られます。特にクラウドサービスでのメタデータアクセス部分は要注意です。

参考文献

• NVD: CVE-2026-10177
• GitHub Issue #5075
• GitHub Pull Request #5137 (修正内容)
• VulDB: CVE-2026-10177

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• Medium脆弱性 に関するCVE・脆弱性記事一覧
• SSRF に関するCVE・脆弱性記事一覧
• AIコーディングツール に関するCVE・脆弱性記事一覧
• クラウド に関するCVE・脆弱性記事一覧

2026-06-07 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-07時点	変化の意味
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行

新規GHSAアドバイザリの発行

2026年6月7日までの間に、CVE-2026-10177に関して新たなGitHub Security Advisory（GHSAアドバイザリ）が発行されました。これにより、従来のNVD（National Vulnerability Database）等のみならず、GitHub上でも本脆弱性の技術的リスクや対応状況が公式に補足・追認されることとなりました。GHSAはオープンソースや開発者向けプロジェクトで重要視されており、依存管理ツールやパッケージの自動警告の基盤にも利用されます。

このアドバイザリ発行により、自動通知やツール連携（Dependabot等）によるエンドユーザーへの注意喚起がより活発になります。利用者はGitHubリポジトリや関連プロジェクトの脆弱性トラッキングにも本CVEが明示的に表示されるようになるため、見逃しによる対応遅延リスクを軽減できます。運用面では、依存関係の再確認と、アドバイザリ掲載リンクをもとに公式の推奨修正方法や緩和策を早期に把握・実施することが推奨されます。

2026-06-14 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 13日）。

項目	公開時点	2026-06-14時点	変化の意味
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行

新規GHSAアドバイザリの発行

2026年6月14日時点で、本脆弱性（CVE-2026-10177）について新たなGitHub Security Advisory（GHSA）が公式に発行されました。公開当初にはGHSAの発行が確認されていませんでしたが、13日間で動きがあり、GitHub上でも本件が取り上げられることとなりました。

GHSAの発行により、OSS開発コミュニティやDevOps環境を利用している関係者も、本脆弱性への注意喚起や脆弱性管理を一層進めやすくなります。影響を受けるプロジェクトや依存パッケージを利用している場合は、GitHub上のアドバイザリ内容を必ず参照し、公式の修正や回避策を早期に適用することが推奨されます。これに伴い、自動アラートや依存関係管理ツール（Dependabot, Renovateなど）による通知も強化される可能性があるため、運用体制の見直しや脆弱性対応フローの再確認も推奨されます。