MENU

CVE-2026-15415 AWS HealthOmics MCPサーバのパストラバーサル脆弱性による権限昇格リスクとAI Security対策ガイド

  • URLをコピーしました!

AI Security速報をXで配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加などの更新情報を見逃したくない方は、Xをフォローしてねー!

Xでフォローする

本記事は公開時点の情報をもとにした速報記事です。内容が更新される場合があるため、必要に応じてベンダー公式情報や一次情報もあわせて確認してください。

目次

結論

  • 危険度: Medium (CVSS 5.5)
  • 対象: (詳細はベンダーアドバイザリ参照)
  • 修正: ベンダーアドバイザリ参照
  • KEV: No (NVD Critical由来。CISA KEVには未登録)
タイトルの緊急度プレフィックス(【至急】【最重大】等)の意味
表記 条件 意味 対応目安
【至急/ランサム悪用】 CISA KEV登録 + ランサムウェア悪用観測 ランサムグループが現在進行形で悪用 本日中に対応開始
【至急/重大】 CISA KEV登録 + CVSS 9.0以上 実世界で攻撃観測あり + スコア極めて高い 本日中に対応開始
【重大/KEV登録】 CISA KEV登録(CVSS低またはNVD未反映) 実世界で攻撃観測あり 数日以内
【最重大】 CVSS 9.5以上(KEV未登録) 理論上の危険度ほぼ満点、攻撃観測はまだない 1週間以内に対応計画
【重大】 CVSS 9.0〜9.4(KEV未登録) Critical帯の理論的高リスク 1〜2週間以内
【高】 CVSS 7.0〜8.9(KEV未登録) High帯のリスク 計画的に対応
(プレフィックスなし) CVSS 7.0未満 Medium以下のリスク 通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-07-17 | 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP やること かかる目安
STEP 1 何が起きているか理解する 5分
STEP 2 急ぎ対応すべきか判断する 3分
STEP 3 自分の環境が対象か確認する 5分〜環境による
STEP 4 修正を適用する 環境による
STEP 5 修正されたことを確認する 3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-15415はAWS HealthOmics MCP Serverの検査ツールにある脆弱性で、攻撃者は特定条件で任意のファイルを書き込めます。AI・LLMを使う開発者や運用者にとって、重要な注意点です。

やさしく説明すると

想像してみてください。ファイルを整理する箱があって、普通はその箱の中だけに物を置くはずです。この脆弱性は、箱の外にも勝手に物を置ける隙がある状態です。攻撃者は、この隙を利用し、管理されている領域の外側にファイルを書き込めるので、想定外のことが起こる恐れがあります。

技術的な原因

本脆弱性はCWE-23「ディレクトリトラバーサル(不適切なディレクトリ制限)」に分類されます。つまり、プログラムがパス名(ファイルの場所指定)を正しく制限できず、攻撃者が「../」などの特殊文字列で本来禁止される上位ディレクトリにアクセスできてしまいます。今回の対象はAWS HealthOmics MCP Serverの「リント(lint)ツール」で、ワークフローファイル入力時のチェック処理に問題がありました。

CWE(Common Weakness Enumeration、共通弱点識別子)は脆弱性の種類を体系的に整理したもので、開発者・運用者が原因を理解しやすくするために使います。

影響を受けると何が困るか

  • AI GatewayやMCP Serverの運用において、設定やコードを不正なファイルで上書きされる
  • LLM実行環境の信頼性が落ち、ワークフロー全体の破壊や不正操作のリスク
  • AI駆動開発ツール(Cursor、Cline等)経由のファイル改ざんリスクの増加
  • モデルやRAG(検索応答型生成)データの改変によるAI回答の改ざん
  • 請求コストの異常増加やサービス停止などの二次被害

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ 情報源 言語 何が分かるか リンク
総合 NVD(米国 NIST) 米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。 開く
総合 MITRE CVE CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。 開く
総合 JVN iPedia(JPCERT/CC・IPA) 日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。 開く
総合 CISA KEV(悪用観測カタログ) 米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。 開く
総合 GitHub Advisory Database OSSパッケージ(npm/pypi/maven/composer/go等)別の脆弱性アドバイザリ。修正PRへのリンクが豊富。 開く
総合 OpenCVE 複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。 開く
Linux Red Hat CVE Red Hat製品(RHEL/CentOS Stream/Rocky/AlmaLinux系)の影響評価とパッチ状況。 開く
Linux Ubuntu Security Ubuntu の影響評価。各Ubuntuバージョン(22.04/24.04等)でのパッチ提供状況が一目で分かる。 開く
Linux Debian Security Tracker Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。 開く
Linux SUSE CVE SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。 開く
悪用 Exploit Database 公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。 開く
悪用 Packet Storm Security セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。 開く
悪用 GitHub PoC 検索 GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。 開く
悪用 X(Twitter)検索 日英 直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。 開く
スキャナ Snyk Vulnerability DB パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。 開く
スキャナ Tenable(Nessus) Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。 開く
スキャナ Rapid7(Metasploit/Nexpose) Metasploit悪用モジュール、Nexposeでの検出情報。 開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります(特にJVN iPediaは日本国内で報告された脆弱性のみ掲載)。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

  • CVSS v3.1スコアは5.5でMediumレベルです。実務的には「放置すると将来的な改ざんリスクあり」ですが、緊急度は高くありません。
  • EPSS(悪用予測スコア)は提供されていません。
  • ランサムウェア悪用は確認されていません。
  • 公開PoC (Proof of Concept)は存在しません。
  • 攻撃条件は、MCPエージェントに影響を与える権限が必要で、ユーザー操作も必要です。そのためリモートでの即時悪用は難しい。

誰が動くべきか

  • LLM Gateway / MCP Serverを運用するインフラおよびDevOpsチーム
  • Agentフレームワークやワークフローシステムを開発・管理するチーム
  • AI駆動開発ツールバイブコーダー(Cursor、Cline、Copilot等)利用者で、HealthOmics連携がある場合の利用者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品 脆弱なバージョン範囲 修正版
AWS HealthOmics MCP Server 0.0.36未満 0.0.36以降

バージョン確認コマンド

Python(pip)

pip show awslabs.aws-healthomics-mcp-server

出力例:

Name: awslabs.aws-healthomics-mcp-server
Version: 0.0.35
Summary: AWS HealthOmics MCP Server package
...

判定: バージョンが0.0.36未満なら脆弱、0.0.36以上なら安全

Python(pip list grep)

pip list | grep awslabs.aws-healthomics-mcp-server

出力例:

awslabs.aws-healthomics-mcp-server 0.0.35

判定: バージョンが0.0.36未満なら脆弱、0.0.36以上なら安全

設定確認

本脆弱性は特定のバージョンのリントツールに起因するため、設定による回避手段はありません。設定変更なしでバージョンアップ必須です

Nucleiテンプレートでの検出

2026年7月17日時点で公開Nucleiテンプレートは提供されていません。バージョン確認を用いた手動検査を推奨します。

STEP 4: 修正を適用する

パッチ適用

Python(pipアップグレード)

pip install --upgrade awslabs.aws-healthomics-mcp-server

出力例:

Successfully installed awslabs.aws-healthomics-mcp-server-0.0.36

判定: アップグレード後バージョンが0.0.36以上なら修正適用済み

注意: バックアップを事前に取得し、ステージング環境での動作検証後、本番に適用してください。ダウンタイム計画も考慮しましょう。

パッチ即時適用ができない場合の暫定対応

公式の暫定対応は提示されていません。環境によってはMCP Server のアクセス制限や該当機能の一時無効化を検討してください。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを、修正後に再度実行してください。

期待される出力

Python(pip show)

pip show awslabs.aws-healthomics-mcp-server

出力例:

Name: awslabs.aws-healthomics-mcp-server
Version: 0.0.36
Summary: AWS HealthOmics MCP Server package
...

判定: バージョンが0.0.36以上なら修正済みで安全

追加で確認すべきこと

  • Nucleiテンプレートが公開された場合は改めて検査してください。
  • 適用後はログ監視を強化し、不審なファイル書き込みやMCP Serverの動作異常がないか確認しましょう。

補足: 悪用観測状況

2026年7月17日時点で、CISA KEVにもランサムウェア悪用の報告はありません。GitHubやExploit Databaseにも公開PoCは見つかっていません。ネットワーク越しの攻撃は権限・ユーザー操作が必要なため、即時の重大攻撃は確認されていません。

補足: CVSSメトリクス詳細

  • AV(Attack Vector、攻撃元): LOCAL(ローカル) – 攻撃者は対象システムの内部で攻撃可能な環境にいる必要がある
  • AC(Attack Complexity、攻撃の難易度): LOW(低) – 攻撃条件は比較的単純
  • PR(Privileges Required、必要権限): NONE(不要) – 権限なしで攻撃実行可能
  • UI(User Interaction、ユーザー操作): REQUIRED(必要) – 攻撃にはユーザーの何らかの操作が必要
  • S(Scope、影響範囲): UNCHANGED(変更なし) – 影響は同一のセキュリティ領域に留まる
  • C(Confidentiality、機密性への影響): NONE(なし) – 機密漏洩は発生しない
  • I(Integrity、完全性への影響): HIGH(高) – 任意ファイル書き込みにより改ざん可能
  • A(Availability、可用性への影響): NONE(なし) – システム停止等の影響はない

よくある質問(FAQ)

Q. このCVEに対応するために最低限すべきことは何ですか?

A. STEP 3で自分の環境のバージョンを確認し、STEP 4の通りに0.0.36以上にアップデートしてください。詳細なコマンドは記事内に記載しています。

Q. パッチが適用できない場合、どうすればよいですか?

A. 公式の暫定対応はありませんが、MCP Serverのアクセス制限強化や該当機能の一時無効化、ネットワーク分離を検討してください。

Q. 既に攻撃を受けているか確認する方法はありますか?

A. ログ監視を強化し、不審なファイル書き込みの痕跡がないかを注意深く調べてください。公式のIOCはまだ公開されていません。

Q. なぜEPSSスコアが重要なのですか?

A. CVSSは脆弱性の危険度を示しますが、EPSSは実際に悪用される可能性を示します。両方を確認すると対応の優先順位を正しく判断できます。

Q. このCVEと類似の脆弱性は他にもありますか?

A. CWE-23「ディレクトリトラバーサル」の脆弱性は他の多くのAI関連サービスやAgentフレームワークでも見られるため、関連製品のバージョン管理や設定を定期的に見直すことを推奨します。

参考文献

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

AI Security速報を継続配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加、海外アドバイザリなどを X で配信してるので、ぜひフォローをお願いします!

@ai_sec_news_256 をフォロー

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次