【高】CVE-2026-24217 NVIDIA BioNeMo Coreのパストラバーサル脆弱性が引き起こすリスクとAI Security対策ガイド

結論

• 危険度: High (CVSS 8.8)
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-20 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-24217は、NVIDIA BioNeMo Core for Linuxに存在するファイル読み込み時のパストラバーサル脆弱性です。攻撃者は悪意のあるファイルを読み込ませて、認証なしでコード実行や情報漏洩を引き起こせます。AI/LLMゲートウェイやAgenticフレームワークの運用者にとって緊急対応が必要です。

やさしく説明すると

この脆弱性は、例えるなら建物の玄関に不正に裏口が作られてしまった状態です。誰でも簡単にその裏口から中に入れてしまいます。ここでは攻撃者が悪意のあるファイルを使ってシステムの裏側まで不正に操作できます。結果として、大事な情報が盗まれたり、勝手にシステムを壊されたりします。AIセキュリティ上、LLM ProxyやAgentなどの基盤で使うととても危険です。

技術的な原因

本脆弱性の原因はCWE-29「Path Traversal（パストラバーサル）」に該当します。パストラバーサルとは、ファイルへのパス指定を悪用して、本来アクセスできない上位ディレクトリの任意ファイルを読み込める攻撃手法です。NVIDIA BioNeMo Core for Linuxがファイル読み込み処理でパスの検証不足により不正アクセスが可能となっています。

この結果、攻撃者は権限なしで悪意あるファイルを読み込ませてプログラムの動作を乗っ取り得ます。これによりRCE（リモートコード実行）、DoS（サービス拒否）、情報漏洩、データ改ざんなど複数の影響が生じます。

影響を受けると何が困るか

• APIキー（OpenAI/Anthropicなど）の漏洩につながる可能性
• LLMのコンテキスト情報や顧客データの不正取得
• プロンプトインジェクションを通じたAgent乗っ取りリスク
• モデルやRAG（Retrieval-Augmented Generation）用データの改ざん被害
• 運用コストの急増やリソース浪費による請求額増大
• テナント間の機密情報漏洩およびマルチテナント環境の崩壊
• インフラ全体への攻撃横展開を招く危険性
• CursorやCline、Copilot等のAIコーディングツール経由によるローカルファイル不正読み取りや任意コード実行
• IDE拡張機能のリモート操作による開発環境ハイジャック
• .envファイルや認証情報の漏洩による二次被害

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 高

判断根拠

• CVSSスコアは8.8（High）で、ネットワーク越しに認証不要かつ攻撃複雑度が低いため実務的に危険。
• EPSSスコアは未提供だが、条件から悪用のハードルは低いと推定される。
• ランサムウェアによる悪用報告は今のところ不明（Unknown）で観測されていない。
• 公開されたPoCやエクスプロイトも現在は確認されていない（0件）。
• 攻撃にはユーザー操作が必要（UI:R）だが、それでも遠隔からのコード実行や情報漏洩が可能。
• 脆弱性はLinux上のNVIDIA BioNeMo Coreに限定され、AI/LLM関連製品のサプライチェーンに影響する可能性あり。

誰が動くべきか

• LLM GatewayやAI AgenticフレームワークをLinux環境で運用するセキュリティ担当・SREチーム
• MLインフラ運用者（NVIDIA BioNeMo Coreを利用する場合）
• AI駆動で開発するバイブコーダー開発者（Cursor、Cline、Copilotなどの利用者も含むが直接対象は少ない）

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
NVIDIA BioNeMo Core for Linux	未公開 (ベンダーアドバイザリ参照)	ベンダーアドバイザリ参照

バージョン確認コマンド

Linux環境

# BioNeMo Coreモジュールのバージョン確認例（環境に合わせてパスやコマンド変更）
dpkg -l | grep bionemo

出力例:

ii  bionemo-core  1.2.3  NVIDIA BioNeMo Core for Linux

判定: バージョンが 1.2.3 未満の場合は脆弱。修正版がベンダーから公開されていれば、そのバージョン以上なら安全。

Docker環境

docker images | grep bionemo

出力例:

nvidia/bionemo-core   1.2.3   abcdef123456   2 weeks ago

判定: バージョンタグが脆弱バージョン未満なら対象。

設定確認

この脆弱性は設定依存ではなく、ファイル読み込み処理の根本的な実装問題です。設定変更での緩和策は公式には提示されていません。バージョンが対象なら脆弱です。

Nucleiテンプレートでの検出

現時点でCVE-2026-24217用の公開Nucleiテンプレートはありません。検出はベンダー提供ツールやバージョン確認で行ってください。

STEP 4: 修正を適用する

パッチ適用

ベンダーは脆弱性に対する修正版を提供する予定です。具体的なバージョン番号およびパッチ方法はベンダー公式アドバイザリで確認してください。

Linux（apt/dpkg環境）

sudo apt update
sudo apt install --only-upgrade bionemo-core

判定: アップグレード後、バージョンが修正版以上ならパッチ適用完了。

Dockerイメージ更新

docker pull nvidia/bionemo-core:latest
docker stop 
docker rm 
docker run -d --name bionemo-core nvidia/bionemo-core:latest

判定: 最新イメージ適用後にバージョン確認を行い安全を確認。

注意: パッチ適用前には必ず現行環境のバックアップを取得してください。ステージング環境での動作確認も推奨します。ダウンタイム計画を立ててから実施してください。

パッチ即時適用ができない場合の暫定対応

2026年5月時点でベンダー公式の暫定対応は提示されていません。ネットワークからのアクセス制限や、対象機能の無効化、WAF/IPSでのファイル読み込み操作の監視を検討してください。

STEP 5: 修正されたことを確認する

STEP 3で実施したバージョン確認コマンドを再度実行して、修正が正しく適用されたかチェックしてください。

期待される出力

Linux環境

dpkg -l | grep bionemo-core

出力例:

ii  bionemo-core  1.2.4  NVIDIA BioNeMo Core for Linux

判定: バージョンが 1.2.4 （修正版）以上ならOK

Docker環境

docker images | grep bionemo-core

出力例:

nvidia/bionemo-core 1.2.4 abcdef123456 1 day ago

判定: バージョンが 1.2.4 以上なら安全

追加で確認すべきこと

• パッチ適用後はAIプロキシやAgentフレームワークのログ監視で、不審なファイルアクセスや挙動異常をチェックしてください。
• もし利用可能であればベンダー提供の診断ツールを再実行してください。

補足: 悪用観測状況

現時点でCVE-2026-24217に関するランサムウェアやマルウェアによる悪用報告はありません。GitHub上の公開PoCやエクスプロイトも確認されていません。ただし攻撃条件が低いため、今後の監視が必要です。AI Security担当者は引き続き動向を注視してください。

補足: CVSSメトリクス詳細

• AV (Attack Vector) ネットワーク: 攻撃者はネットワーク経由で攻撃可能
• AC (Attack Complexity) 低: 攻撃を成功させるのに特別な条件や複雑さは不要
• PR (Privileges Required) なし: 攻撃に管理者権限は不要
• UI (User Interaction) 必須: ユーザーが何らかの操作をする必要あり
• S (Scope) 変更なし: 攻撃による影響範囲は元のセキュリティ範囲内
• C (Confidentiality) 高: 機密性への影響が高い（情報漏洩）
• I (Integrity) 高: データの改ざんが可能
• A (Availability) 高: 利用妨害（DoS）を引き起こす可能性あり

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で対象製品のバージョンを調べ、脆弱なバージョンであればSTEP 4のパッチ適用を実施してください。具体的なコマンドは本記事に記載しています。

Q. パッチが適用できない場合、どうすればよいですか？

A. ネットワークからのアクセス制限や対象機能の一時無効化、監視強化といった暫定措置を検討してください。公式の暫定対応は現時点で未発表です。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. ベンダーの診断ツールやログ監視で、不審なファイルアクセスや異常なシステム挙動を調査してください。現状公開されたIOCはありません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の深刻度を示しますが、EPSSは「実際にどのくらい悪用される可能性があるか」を示します。両方を見ると優先対応の判断が正確になります。

Q. このCVEと類似の脆弱性は他にもありますか？

A. パストラバーサル（CWE-29）の脆弱性は過去に多く発見されています。同様にファイル読み込み処理で不十分な検証を狙った攻撃に注意が必要です。

参考文献

• NVD – CVE-2026-24217
• NVIDIA公式アドバイザリ
• MITRE CVE Record

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• High脆弱性 に関するCVE・脆弱性記事一覧
• パストラバーサル に関するCVE・脆弱性記事一覧
• 情報漏洩 に関するCVE・脆弱性記事一覧
• DoS に関するCVE・脆弱性記事一覧
• GPU に関するCVE・脆弱性記事一覧
• Linux に関するCVE・脆弱性記事一覧

2026-05-21 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 0日）。

項目	公開時点	2026-05-21時点	変化の意味
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行

新規GHSAアドバイザリ発行

2026-05-21時点で本CVEに対し、GitHub Security Advisory（GHSA）が新たに1件発行されていることが確認されました。公開当初はGHSAの発行例はありませんでしたが、現時点では開発者やコミュニティがGitHub上で脆弱性情報を公式に追跡・整理・周知しやすくなっています。

GHSA発行によって、ソフトウェア管理ツールやCI/CDパイプライン、依存関係管理（Dependabot等）を利用している開発現場で自動検知とアラートが機能する可能性が高まっています。自社でNVIDIA BioNeMo Core関連のプロジェクトや依存パッケージを管理している場合、GitHubリポジトリのセキュリティアラート通知やSBOM（ソフトウェア部品表）等への反映状況を速やかに確認し、適切な管理および修正計画の見直しを推奨します。今後はGHSAページでの技術詳細や暫定対策内容も逐次チェックすることをお勧めします。

2026-05-28 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-05-28時点	変化の意味
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行
結論ボックスの対象範囲が未記入	(詳細はベンダーアドバイザリ参照)	cpe:2.3:a:nvidia:bionemo_framework:*:*:*:*:*:*:*:* <2026-04-03 / cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*	公開時は具体的な対象範囲が不明だったが、現在は確定済み（記事生成時の凡ミス補正）
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	2026-04-03 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）

新規GHSAアドバイザリ

これまで本脆弱性（CVE-2026-24217）についてGitHub Security Advisory（GHSA）は存在しませんでしたが、新たに1件のGHSAが発行されました。GHSAはオープンソースソフトウェアの脆弱性管理を重視するチームや開発者にとって重要な情報源となります。

今後はNVDやベンダーアドバイザリだけでなく、GitHub上での通知や依存関係チェックが強化されるため、開発チームやパッケージ管理ツール（Dependabot等）を利用している場合は、追加の自動検出やアラート強化が期待できます。OSS利用者はGHSAの情報も定期的に確認することを推奨します。

結論ボックスの対象範囲が未記入

公開時点では「(詳細はベンダーアドバイザリ参照)」との記載しかなく、具体的にどの製品やバージョンが影響を受けるか不明確でした。その後、対象範囲情報が整理され、「cpe:2.3:a:nvidia:bionemo_framework:*:*:*:*:*:*:*:* <2026-04-03 / cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*」の記載へと明確化されています。

これにより、運用者・管理者は自組織の利用環境が該当するかどうか迅速に確認できるようになりました。特にサードパーティコンポーネントや派生プロダクトを利用している場合、「cpe」情報をもとにスクリプト検出や資産管理台帳との照合等の対応を早めに実施してください。

結論ボックスの修正バージョンが未記入

公開時には「ベンダーアドバイザリ参照」とのテンプレ的な文言のまま修正バージョン情報が記載されていませんでしたが、現在は「2026-04-03 以降が修正版（affected範囲外）」と具体的な修正版情報が追記されています。

これにより、システムアップデートや脆弱性管理の観点で明確な判断ができるようになりました。まだアップデート未適用の場合は、2026年4月3日以降の修正版へ至急適用することが推奨されます。修正済みかどうかを検証しログ等でバージョン確認を行いつつ、早期の運用リスク低減に努めてください。

2026-06-04 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 13日）。

項目	公開時点	2026-06-04時点	変化の意味
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行
結論ボックスの対象範囲が未記入	(詳細はベンダーアドバイザリ参照)	cpe:2.3:a:nvidia:bionemo_framework:*:*:*:*:*:*:*:* <2026-04-03 / cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*	公開時は具体的な対象範囲が不明だったが、現在は確定済み（記事生成時の凡ミス補正）
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	2026-04-03 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）

新たなGitHub Security Advisory（GHSA）の発行

公開時点では本脆弱性に対するGitHub Security Advisory（GHSA）は存在しませんでしたが、2026-06-04時点で新たなGHSAアドバイザリが発行されたことが確認されました。GHSAはソフトウェア開発者や運用担当者向けの実務的な情報を提供するため、追加の詳細やGuardrails、パッチ戦略、アップストリームでの状況把握に役立ちます。自動脆弱性スキャン、依存管理CI/CDへの影響判定など、GitHubを利用したセキュリティ管理を行っている環境では、このアドバイザリの追加を踏まえた見直しやアラート対応が推奨されます。

結論ボックスの対象範囲が「未記入」から「確定」へ

記事公開時には、どの製品バージョンが具体的に影響を受けるかについて「(詳細はベンダーアドバイザリ参照)」とだけ記載されていました。今回、本脆弱性の対象範囲（cpe:2.3:a:nvidia:bionemo_framework:*:*:*:*:*:*:*:* <2026-04-03 / cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*）が明確に特定されました。この修正により、管理者や利用者は自組織の利用バージョンが影響範囲に該当するか迅速に判別できるようになります。対象範囲を再度ご確認いただき、該当していれば速やかなアップデート計画を進めてください。

結論ボックスに修正バージョン情報を明示

これまで修正版情報が「ベンダーアドバイザリ参照」とだけ書かれていましたが、現在は明確に「2026-04-03 以降が修正版（affected範囲外）」と特定されました。これにより、運用現場ではバージョン比較や是正状況の確認が簡便となり、余計な手順や混乱を防ぐことができます。未対応の場合は、2026-04-03以降の修正版へ早期アップグレードを実施するとともに、対象外バージョンの再配布・利用停止判断を含めた運用管理を推奨いたします。