オープンソースのLDAPディレクトリサーバ「OpenDJ」に、認証不要で遠隔から任意コードを実行され得るクリティカル脆弱性CVE-2026-46495が公表されました。修正版5.1.1が提供されています。JMX接続を有効化している環境が主な対象で、社内のID基盤や認証連携にOpenDJを使っている場合は影響有無の確認を急いでください。
この記事でわかること
- 何が起きたのか(CVE-2026-46495の概要)
- 自社が影響を受けるかの見分け方(前提条件と既定設定)
- 情シスとして今すぐ確認・対応すべきこと
何が起きたのか
Open Identity Platformが保守するディレクトリサーバ「OpenDJ」のコミュニティエディションに、信頼できないデータのデシリアライズ(CWE-502)に起因する脆弱性が見つかりました。OpenDJはもともとForgeRock(さらに遡ればSun)系譜のJava製LDAPv3ディレクトリサーバで、現在はオープンソースとしてコミュニティが維持しています。社内認証やシングルサインオン(SSO)の基盤として、ユーザー・グループ情報の格納先に使われるケースがあります。
問題はサーバの監視・管理に使われるJMX(Java Management Extensions)のRMIコネクタにあります。攻撃者が細工したシリアライズ済みJavaオブジェクトを送り込むと、サーバが認証前にそのバイト列を処理(デシリアライズ)してしまうため、認証情報を一切持たない遠隔の攻撃者が任意のコードを実行できる恐れがあります。いわゆる「Pre-Auth RCE(認証前のリモートコード実行)」で、成立すればサーバの完全な乗っ取りに直結します。
深刻度(CVSS)— 出典で数値に差
深刻度は4段階で最高の「クリティカル」です。CVSSスコアは出典により表記に差があり、脆弱性アドバイザリ(GitLab Advisory Database)では9.8(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)、国内報道(Security NEXT)では9.2と報じられています。いずれにせよ「ネットワーク経由・認証不要・低い攻撃複雑度で、機密性・完全性・可用性すべてに最大級の影響」という評価で、優先度は高いと判断すべきです。本記事では数値の差異は確認中ですが、対応判断には影響しません。
自社は影響を受けるのか — 前提条件を確認する
ここが実務上もっとも重要なポイントです。今回の攻撃経路はJMX Connection Handler(JMX接続ハンドラ)が有効になっていることが前提とみられます。OpenDJではこのJMX接続ハンドラは既定で無効(デフォルトの待受ポートは1689)で、明示的に dsconfig 等で有効化しない限り動作しません。
つまり、監視ツール連携などのためにJMXをわざわざ有効化した環境が主な対象になります。PrometheusのJMX Exporterや外部監視からメトリクスを取るためにJMXを開けている、といった構成は要注意です。逆に既定のまま使っているなら、攻撃経路としてのリスクは相対的に低いと考えられます。まずは自社のOpenDJ設定でJMX接続ハンドラが有効か、1689番ポートが開いていないかを確認してください。
影響を受けるバージョンと修正版
| 項目 | 内容 |
|---|---|
| 対象製品 | OpenDJ(Open Identity Platform / コミュニティエディション) |
| 影響バージョン | 5.1.0 以前のすべて |
| 修正バージョン | 5.1.1(2026年6月12日リリース)以上 |
| 脆弱性タイプ | 信頼できないデータのデシリアライズ(CWE-502)/認証不要のRCE |
| 前提条件 | JMX接続ハンドラの有効化(既定は無効) |
なお修正版5.1.1では、PostgreSQL JDBCドライバ「pgjdbc」の脆弱性CVE-2026-42198など他の問題も併せて修正されたと報じられています。バックエンドにPostgreSQLを使う構成では、こちらの観点でもアップデートの意味があります。
想定されるリスク
- ID基盤の乗っ取り:ディレクトリサーバはユーザー・認証情報の集約点。RCEが成立すれば、アカウント情報の窃取・改ざんや、そこを足がかりにした横展開(ラテラルムーブメント)につながり得ます。
- 認証不要で悪用が容易:事前の認証突破が不要なため、JMXポートが到達可能な位置にあると攻撃のハードルは低くなります。
- 監視のために開けた穴が攻撃面になる皮肉:運用を楽にするために有効化したJMXが、そのまま侵入口になり得る点に注意が必要です。
現場目線の課題
OpenDJのようなディレクトリ基盤は「一度組んだら安定稼働させたい」性質が強く、可用性を優先するあまりバージョンアップが後回しになりがちです。さらに今回のように「既定では無効だが、監視連携のために誰かが過去に有効化した」設定は、担当者が代替わりするとそもそも有効になっている事実を把握できていないことが珍しくありません。構成管理ドキュメントとサーバの実設定がずれていて、いざ調べると想定外のポートが開いていた——という場面は、限られた人員で多数のサーバを見る情シスにとって決して他人事ではないはずです。今回を機に、JMXに限らず「運用都合で開けた管理用ポート」の棚卸しをしておくと安心です。
情シスはどうすべきか
- 棚卸し:社内でOpenDJを使っている箇所と、そのバージョン・JMX接続ハンドラの有効/無効、1689番ポートの開放状況を確認する。
- アップデート:影響があれば、修正版5.1.1以上へ計画的に更新する。ディレクトリ基盤は事前検証とメンテナンス窓の確保が肝心。
- 暫定的な緩和:すぐに更新できない場合は、不要ならJMX接続ハンドラを無効化する、あるいはJMXポートへのアクセスを管理セグメントに限定する(外部・一般セグメントから到達できないようにする)。
脆弱性対応の進め方や社内調整の基本は、IPAの公的資料が役立ちます。中小規模の体制であれば「中小企業の情報セキュリティ対策ガイドライン」が、緊急時の動き方は「セキュリティインシデント対応 机上演習教材」が参考になります。日頃から「管理用ポートを安易に外部公開しない」という運用ルールの徹底と、担当者への啓発もあわせて行いたいところです。
まとめ
- OpenDJに認証不要のRCEにつながるクリティカル脆弱性CVE-2026-46495が公表。修正版は5.1.1。
- 攻撃経路はJMX接続ハンドラ(既定は無効)。監視連携などで有効化した環境が主な対象。まず自社設定の確認を。
- 対応は5.1.1以上への更新が基本。すぐに更新できなければJMXの無効化やポートのアクセス制限で暫定緩和を。
