Hackers are mass-exploiting the cPanel bug to gain control of thousands of websites

テクニカル・ディープダイブ：cPanel脆弱性CVE-2026-41940の技術的背景と被害状況

cPanelおよびWebHost Manager (WHM) に存在する重大な脆弱性CVE-2026-41940は、攻撃者が制御パネルを通じて脆弱なサーバーを完全に掌握することを可能にする。この脆弱性は、認証をバイパスし、管理者権限を取得できるため、その影響範囲は極めて大きい。Shadowserverのデータによれば、現在も55万人以上のサーバーが脆弱な状態であり、2,000以上のcPanelインスタンスが既に侵害されている。

脆弱性の詳細と攻撃手法

CVE-2026-41940は、cPanelの特定の機能における入力検証の不備に起因する。攻撃者は、巧妙に細工されたリクエストを送信することで、認証プロセスを回避し、サーバーのファイルシステムへのアクセス権を得ることができる。得られたアクセス権を利用して、マルウェアのアップロード、バックドアの設置、機密情報の窃取といった悪意のある活動を行うことが可能となる。

初期の攻撃は2月23日頃から検出されており、KnownHost CEOのDaniel Pearson氏が指摘するように、脆弱性が公表される以前から攻撃は行われていた可能性がある。攻撃者は、侵害したサーバーをランサムウェア攻撃に利用し、身代金を要求している事例も報告されている。Googleがインデックスしたウェブサイトの中には、ハッカーからの身代金要求メッセージが表示されていたものも存在する。

被害状況の推移とShadowserverの役割

Shadowserverは、インターネット上のサイバー攻撃をスキャンし監視する非営利団体であり、今回のcPanel脆弱性に関する重要なデータを提供している。Shadowserverのデータによると、攻撃開始直後の4月25日には約44,000のcPanelインスタンスが侵害されていたが、その後、パッチ適用が進んだ結果、現在では約2,000に減少している。しかし、依然として55万人以上のサーバーが脆弱な状態であることは、さらなる被害拡大の可能性を示唆している。

CISA（米国サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、この脆弱性を「既知の悪用された脆弱性 (KEV)」カタログに追加し、政府機関に対して日曜までにパッチを適用するよう要請した。しかし、政府機関が実際にパッチを適用したかどうかは、CISAからの公式な発表がないため不明である。

市場への影響と今後の展望

今回のcPanel脆弱性は、Webインフラにおけるサプライチェーン攻撃の脅威を改めて認識させる事例となった。cPanelは、多くのウェブホスティング事業者で使用されているため、その脆弱性は広範囲に影響を及ぼす可能性がある。ウェブホスティング事業者は、迅速なパッチ適用と、脆弱性管理体制の強化が不可欠である。また、ウェブサイト運営者は、使用しているホスティング事業者のセキュリティ対策状況を確認し、必要に応じてプロバイダーの変更を検討することも重要となる。