IBM WebSphere Application Server 8.5 および 9.0 に、リモートコード実行(RCE)と認証回避(なりすまし)を招く深刻な脆弱性3件が2026年6月1日に公表されました。CVSS スコアは最大 9.1(Critical)で、未認証の攻撃者が細工したリクエスト1本で任意コードを実行できる可能性があります。金融・官公庁・製造業など WebSphere を基幹システムで稼働させている組織は、至急パッチ適用の計画を立ててください。
- CVE-2026-8644(CVSS 9.1):認証回避・なりすまし
- CVE-2026-9311/9330(CVSS 9.0):SAML デシリアライズによる RCE
- CVE-2026-9319(CVSS 9.0):JAX-WS デシリアライズによる RCE
- 影響バージョン:WebSphere AS 8.5(8.5.5.30 未満)、9.0(9.0.5.29 未満)
- 対応:IBM 提供の Interim Fix(APAR PH71422/PH71453/PH71454)を適用
3件の脆弱性の概要(2026年6月1日公表)
IBM は2026年6月1日、WebSphere Application Server(WAS)に影響する3系統の脆弱性を同時に公開しました。いずれも認証なしにネットワーク経由で悪用可能(攻撃ベクター:Network)という点が共通しており、インターネット公開しているポータルだけでなく、社内イントラネット越しのサービスも対象になり得ます。
今回の脆弱性の多くは デシリアライズ(逆シリアライズ)の不適切な実装 に起因しています。Java オブジェクトの受け取り口で細工されたバイナリを処理してしまうことで、攻撃者が任意クラスのコードを実行できてしまう古典的かつ根深い問題です。
影響を受けるバージョン
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| WebSphere Application Server 9.0 | 9.0.0.0 ~ 9.0.5.28 | 9.0.5.29(3Q2026 予定)または Interim Fix 適用 |
| WebSphere Application Server 8.5 | 8.5.0.0 ~ 8.5.5.29 | 8.5.5.30 または Interim Fix 適用 |
WebSphere Application Server Liberty(リバティ)は今回の3件には含まれません。ただし同時期に公開された別の脆弱性(CVE-2026-8633/8620 など)の影響を受ける可能性があるため、Liberty 系も並行して IBMセキュリティアドバイザリを確認してください。
各脆弱性の詳細
CVE-2026-8644:認証回避・なりすまし(CVSS 9.1)
CVE-2026-8644 とは何か?
WebSphere の認証機構に欠陥があり、攻撃者が任意のユーザー(管理者を含む)になりすまして操作できる脆弱性です(CWE-290:認証スプーフィングによるバイパス)。
- CVSS 3.1 スコア:9.1(Critical)
- ベクター:AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
- 攻撃条件:ネットワーク経由・特権不要・ユーザー操作不要
- 対応 APAR:PH71422
攻撃に成功した場合、管理コンソールへの無断ログインや業務データの改ざん・削除といった影響が生じます。完全性(Integrity)と可用性(Availability)の両方が「高(High)」評価です。
CVE-2026-9311/9330:SAML SSO のデシリアライズによる RCE(CVSS 9.0)
CVE-2026-9311 とは何か?
SAML Web シングルサインオンコンポーネントでのデシリアライズ処理に不備があり、細工した HTTP リクエストを送ることでリモートコードを実行できる脆弱性です(CWE-94:コードインジェクション)。
- CVSS 3.1 スコア:9.0(Critical)
- 攻撃条件:ネットワーク経由・認証不要・SAML SSO が有効な構成
- 対応 APAR:PH71453
社内ポータルや基幹システムへのシングルサインオンに WebSphere の SAML 機能を利用している場合は特に警戒が必要です。
CVE-2026-9319:JAX-WS デシリアライズによる RCE(CVSS 9.0)
CVE-2026-9319 とは何か?
WS-Security を有効にした JAX-WS エンドポイントにおける逆シリアライズの欠陥です。攻撃者は悪意を持った Java オブジェクトを含む SOAP メッセージを送信することで任意コードを実行できます(CWE-502:信頼されないデータのデシリアライズ)。
- CVSS 3.1 スコア:9.0(Critical)
- ベクター:AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
- 攻撃条件:ネットワーク経由・認証不要(ただし AC:H=攻撃の複雑さは高)
- 技術的根因:ObjectInputStream.readObject() の前にクラス許可リストや先読みフィルタが実装されておらず、ガジェットチェーンが利用可能
- 対応 APAR:PH71454
攻撃の複雑さ(AC)は「高(H)」ですが、スコープ(S)が「変化(Changed)」で機密性・完全性・可用性すべて「高(H)」です。WebSphere ホスト外のシステムへの影響拡大も視野に入れる必要があります。
想定されるリスク
今回の3件が組み合わさった場合のシナリオは深刻です。
- 内部情報の漏えい:なりすましによる管理コンソールへのアクセスで、ユーザー情報や設定情報が窃取される
- サーバー乗っ取り:RCE により攻撃者がサーバー上で任意コマンドを実行、ランサムウェアのインストールや踏み台化が可能
- 業務停止:基幹 AP サーバーが侵害された場合の業務影響は広範
なお2026年6月時点では野生での悪用(野良 PoC による攻撃活動)は公式確認されていませんが、CVSS が 9.0 を超え IBM 公表から間もないこのタイミングは「公表後の攻撃激化フェーズ」に入りやすい時期です。早め早めの対応が現実的なリスク低減につながります。
現場目線:WebSphere は「静かに残り続ける」インフラ
WebSphere は2000年代に多くの日本企業・官公庁が基幹システムの AP サーバーとして採用した製品です。今でも勘定系システム、人事・給与システム、電子申請ポータルなどで稼働し続けているケースは少なくありません。
こういったシステムは「動いているから触らない」という運用方針で、FixPack の更新が何年も止まっていることがあります。今回の CVSS 9.1 は経営層にインパクトを示す良い数字です。「テスト工数がかかる」「ベンダー費用の捻出が難しい」という現実はありますが、パッチ未適用のまま稼働を続けることのリスクを、今回の公表を機に再評価してほしいところです。
情シスがとるべき対策
まず IBM のセキュリティアドバイザリを確認し、以下の対応を計画してください。
- バージョン確認:管理コンソールまたは
versionInfo.shで WebSphere AS のバージョンを確認する(8.5.x/9.0.x) - Interim Fix の適用:Fix Pack のリリースを待てない場合は APAR PH71422・PH71453・PH71454 の Interim Fix を同一メンテナンスウインドウで適用する(IBMサポートページから取得)
- Fix Pack へのアップグレード:8.5.5.30 以降(既リリース)、9.0.5.29 以降(3Q2026 予定)へのアップグレードを計画する
- 緩和策(パッチ即時適用が困難な場合)
- JAX-WS エンドポイントで WS-Security が不要なら無効化
- JVM のデシリアライズフィルタ(
jdk.serialFilter)を設定 - WAF(Webアプリケーションファイアウォール)でJava シリアライズシグネチャをブロック
- SAML SSO 未使用の場合はコンポーネントの無効化を検討
- インターネット公開範囲の確認:WebSphere の管理コンソール(デフォルト9060/9043番ポート)が外部に露出していないかを確認する
IPA・JPCERT/CC の公式ガイドラインも合わせて参照してください。
脆弱性管理・パッチ運用の基本的な考え方については、当サイトの脆弱性・脅威情報カテゴリも参考にしてください。
まとめ
- IBM WebSphere AS 8.5/9.0 に CVSS 9.1 のなりすまし(CVE-2026-8644)と CVSS 9.0 の RCE 脆弱性2件(CVE-2026-9311/9319)が2026年6月1日に公表された。
- 未認証でネットワーク越しに攻撃可能で、基幹システムへの影響が大きい。金融・官公庁・製造業など WebSphere 稼働組織は優先度高で対応すること。
- APAR PH71422/PH71453/PH71454 の Interim Fix を同一メンテナンスウインドウで適用し、最終的には 8.5.5.30/9.0.5.29 以降へアップグレードする計画を立てる。
出典
- JPCERT/CC Weekly Report 2026-06-10 – IBM WebSphere Application Serverに複数の脆弱性
- NVD – CVE-2026-8644
- IBM Security Bulletin – CVE-2026-8644
- IBM Security Bulletin – CVE-2026-9311/9330 (RCE)
- IBM Security Bulletin – CVE-2026-9319 (RCE)
- Threat-Modeling.com – IBM WebSphere Vulnerabilities (CVE-2026-8644, CVE-2026-9311, CVE-2026-9319)
