DrupalコアのSQLインジェクション（CVE-2026-9082）悪用が確認──CISA KEV入りが示す“最短距離の現実”です

今日の深掘りポイント

• CISAのKEV入りは「悪用の事実」を前提にした強いシグナルで、修正適用のSLAを「今週中」ではなく「今すぐ」に引き上げるべき局面です。
• Drupalコア起因のSQLiは、サイト固有の防御差を飛び越えて「横に一気に広がる」類のリスクです。個々の堅牢化より“コア更新の有無”が決定打になりやすいです。
• 攻撃は自動化の成熟で初動が極めて速く、パッチリリースと観測されるスキャンがほぼ同時に走る前提で運用設計を見直すべきです。
• WAFの一般的なSQLiシグネチャは重要ですが十分条件ではないです。アプリ固有パラメータのホワイトリスト化（正のセキュリティモデル）を重ねると被弾率が大きく下がります。
• 監視は「HTTPパターン検知」だけでなく「DB関数の使用痕跡（SLEEP、pg_sleep、information_schema、INTO OUTFILE など）」と「アプリ状態変化（管理者ロール付与・未知のコンテンツ改変）」の両輪で追うべきです。

はじめに

米CISAがDrupalコアのSQLインジェクション脆弱性（CVE-2026-9082）をKnown Exploited Vulnerabilities（KEV）カタログに追加しました。Drupalは修正公開の約2日後に悪用試行を確認したとされ、Impervaは65カ国・約6,000サイトに対する1.5万超の試行を観測しています。コア由来のSQLiは攻撃者にとって再現性が高く、自動化しやすいので、波及が「速く・広く」なりやすいのが特徴です。読者の組織がDrupalを直に運用していなくても、委託先・関連団体・広報窓口サイトの可用性や改ざんが事業・レピュテーションに直結します。今は“自組織の内外含めた面”で急ぎ潰す段階です。

参考（報道）: The Hacker News: Drupal Core SQL Injection Bug Actively Exploited, Added to CISA KEV

深掘り詳細

事実関係（確認できていること）

• CISAはCVE-2026-9082をKEVに追加し、既に悪用が確認されている位置付けとしています。
• Drupalは当該脆弱性の修正を公開し、その約2日後に悪用試行が確認されたと報告されています。
• Impervaは65カ国・約6,000の個別サイトに対して1.5万回超の攻撃試行を観測したと報じられています。
  上記はいずれも公開報道に基づく事実関係です（一次情報の詳細は原典公表に依存します）です。

出典: The Hacker News

インサイト（なぜ危険か、どこが難しいか）

• コア層のSQLiは“バージョン条件”こそトリガーですが、“サイト固有の作り”では差が出にくいです。つまり、条件に合う限りテンプレ化したペイロードで世界規模に同時多発しやすいです。
• 悪用速度が速いことは、公開情報（パッチノートや差分コード）からの逆引き・自動化が常態化しているサインです。脆弱性の“技術的深刻度”に関わらず、「公開＝スキャン開始」の運用前提に立つべきです。
• SQLiの結果は環境依存です。閲覧・抽出（SELECT）にとどまるケースから、条件次第でアプリ権限昇格、さらにはRCE相当の事後行動に至る可能性までグラデーションがあります（例: DB関数の悪用、ファイル書き出し権限の有無など）。従って検知も“単一の兆候”ではなく段階的に設計する必要があります。
• WAFのシグネチャは初動抑止として有効ですが、SQLキーワードを回避するエンコードや、DB方言（PostgreSQL/MySQL）別の関数を差し替えるだけで回避されることがあります。サイト固有の許容パラメータを厳格化する正のモデルを併設するのが実効的です。
• KEV入りは米連邦機関に対する期限付きの是正要請を意味し、国内でも“KEV相当はX営業日以内に是正”というSLAの明文化を進める好機です。これを運用KPIに落とすことで、将来の似た事案のMTTRを短縮できます。

なお、攻撃が主にどの業種に向いたか等の詳細な分布は観測系のバイアスを受ける可能性があるため、個別の戦術は自組織の露出面（国・言語・トラフィック源・既存BOT対策の有無）に引き直して評価するのが妥当です。

脅威シナリオと影響

以下は、DrupalコアのSQLiという性質から導ける仮説ベースのシナリオです。現場のログや構成と突き合わせて優先度を判断してくださいです。

• シナリオA: 資格情報・個人情報の窃取

  • 想定フロー（MITRE ATT&CK準拠の例）
    • Initial Access: Exploit Public-Facing Application（T1190）
    • Collection: Querying application DB（アプリDBからユーザやセッション情報を収集）
    • Exfiltration: Exfiltration Over Web Services（T1567）
  • 影響: アカウント乗っ取り、パスワードリスト攻撃への再利用、法令対応コストの発生です。

• シナリオB: アプリ権限昇格からのサイト乗っ取り

  • 想定フロー
    • Initial Access: T1190
    • Privilege Escalation / Persistence: Valid Accounts（T1078）/ Create Account（T1136）相当のアプリ内権限獲得（仮説）
    • Defense Evasion: Clear Web Logs（T1070のWebアプリ相当）
    • Impact: Defacement（T1491）/ コンテンツ改ざんによるウォータリングホール化
  • 影響: 広報・ブランド毀損、フィッシング拠点化による二次被害です。

• シナリオC: 環境依存でのRCE到達（仮説）

  • 想定フロー
    • Initial Access: T1190
    • Execution: Command and Scripting Interpreter（T1059）またはServer Software Component: Web Shell（T1505.003）
  • 前提: DBユーザのファイル書き出し権限（MySQLのINTO OUTFILE等）やWebルートへの書込可否など環境条件に強く依存します。
  • 影響: 恒常的なバックドア設置、横展開の足場化です。

• シナリオD: 情報空間への影響（世論・詐欺の増幅）

  • 想定: 公的機関・メディア・教育サイトの改ざんやスクリプト注入により、偽情報配信やクレデンシャル収集の踏み台化が起きるリスクです。
  • 影響: 情報流通の信頼性低下、対外発信の同時多発的な毀損です。

上記は技術特性からの一般化であり、各環境で到達可能性は異なります。誤検知・過検知とのトレードオフを評価しつつ、段階的な監視と封じ込め計画を用意するのが現実的です。

セキュリティ担当者のアクション

“今すぐやること”と“48時間以内”“1週間以内”のレイヤで割り切ると、現場が動きやすいです。

• 直ちに（0〜24時間）

  • コア更新の適用
    • Drupalコアを最新のセキュリティリリースへ更新し、DB更新・キャッシュクリア（drush cr）・権限差分の確認までをワンセットで実施します。バージョン番号やアドバイザリIDは公式告知に従ってください（一次情報の確認を強く推奨します）です。
  • エッジでのバーチャルパッチ
    • WAF/CDNのマネージドルールでSQLi保護を有効化・厳格化します。
    • 追加の正のセキュリティルール例（環境に合わせてチューニング）
      • クエリ/ボディに以下のパターンを含む場合をブロックまたはチャレンジ
        • union select, information_schema, sleep(, pg_sleep(, benchmark(, load_file, into outfile
      • 既知パラメータのホワイトリスト（例: sort, order, page などの値域・文字種を制限）です。
  • 監視強化（初動）
    • HTTPアクセスログの即時探索
      • 例: grep -Ei 'union[[:space:]]+select|information_schema|pg_sleep\(|sleep\(|load_file|into[[:space:]]+outfile' access.log*
    • DB監査ログの確認（有効なら）
      • MySQL: general_log / audit_log における上記キーワードの突発増加
      • PostgreSQL: pg_sleep, current_setting, copy ... program 等の使用痕跡です。
    • Drupalのwatchdog/ログでPDO例外の急増やDBエラー頻発を確認します。

• 48時間以内

  • 異常兆候のハンティング（アプリ視点）
    • 突然増えた管理者ロール付与/ユーザ作成、メールテンプレート・ブロック・メニューの改変、未知のURLエンドポイントへのアクセス急増を点検します。
    • Webルート配下の新規/更新ファイル（PHP/JS/HTACCESS）の差分監査を取り、想定外変更を調査します。
  • 侵害が示唆される場合の即応
    • 影響可能性のあるデータを「流出前提」で扱い、認証情報（DB、Drupal管理者、API鍵、settings.php内の秘密等）をローテーションします。
    • フォレンジックを考慮し、対象システムのスナップショット採取とログ保全を先に行います。

• 1週間以内

  • 恒久対策と体制の見直し
    • DBユーザ権限の最小化（FILE権限無効化、外部コマンド連携の禁止、不要関数の無効化）です。
    • egress制御（Webサーバから外向きの不要通信を遮断）でデータ持ち出しを難しくします。
    • KEV相当案件のSLA策定（例: 公表からX日以内に是正＋例外承認プロセス）と、バーチャルパッチ適用の標準運用化です。
    • 定期的なDRアップデート演習（コア更新→回帰テスト→切替）をCI/CDに組み込み、公開と同時に動ける仕組みを作ります。

• 可観測性と検知の具体例（参考クエリ）

  • Splunk例（要環境調整）
    • index=web (uri_query="" OR request_body="") (match(uri_query,"(?i)union\s+select|information_schema|pg_sleep\(|sleep\(|load_file|into\s+outfile") OR match(request_body,"(?i)union\s+select|information_schema|pg_sleep\(|sleep\(|load_file|into\s+outfile")) | stats count by src_ip, uri, status
  • MySQL監査（概念）
    • SELECT ... FROM mysql.general_log WHERE argument REGEXP '(?i)union[[:space:]]+select|information_schema|sleep\(|load_file|into[[:space:]]+outfile';

• ステークホルダー対応

  • 委託先・関連団体に対し、当該CVEの適用状況の自己申告とエビデンス提出を依頼します。
  • 広報・法務と連携し、改ざんや漏えいの可能性が否定できない場合の一次声明・FAQ・問い合わせ導線を準備します。

最後に、今回の脆弱性は“技術的な新しさ”よりも“攻撃の速さと面の広さ”が本質です。優先度の高い現実対応（更新・バーチャルパッチ・監視）に集中し、将来に向けてKEVドリブンのパッチSLAと自動化パイプラインを整備することが、結果的に最もコスト効率のよい投資になります。

参考情報

• 報道まとめ: The Hacker News — Drupal Core SQL Injection Bug Actively Exploited, Added to CISA KEV