悪用されているcPanelの脆弱性により、数百万のウェブサイトが乗っ取りの危険にさらされている

セキュリティ研究者らは、広く利用されているWebサーバー管理ソフトウェア「cPanel」および「WebHost Manager（WHM）」に新たに発見された脆弱性について警告を発している。 

これは、cPanel/WHMに存在する重大な認証バイパス脆弱性であり、現在も積極的に悪用されています。この脆弱性を悪用すると、攻撃者は認証情報なしで管理画面へのアクセス権を取得し、サーバーおよびホストされているすべてのサイトを乗っ取る可能性があります。

この脆弱性（CVE-2026-41940）は、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）の「既知の悪用されている脆弱性」カタログに追加されました。これは、実際の攻撃で悪用されている証拠があることを意味します。

cPanel/WHMは、銀行や医療機関を含む世界中の100万以上のサイトで利用されているため、その影響は甚大です。簡単に言えば、このバグは、ウェブホスティングインフラの大部分への「玄関の鍵」のような役割を果たす可能性があります。

cPanelは2026年4月28日にパッチを公開し、すべての顧客およびホスティング事業者に対し、更新を行うよう強く呼びかけました。同社によると、11.40以降のすべてのサポート対象バージョンが影響を受けており、これにはDNSOnlyおよびWP Squaredも含まれます。

Namecheap、HostGator、KnownHostなどのホスティングプロバイダーは、この問題を重大な認証バイパスとして扱い、2026年2月下旬にまで遡る悪用試みが報告されたことを受け、パッチ適用中にcPanelインターフェースへのアクセスを一時的に遮断しました。

安全に過ごすには

ホスティング会社やウェブサイト運営者ができるだけ早く修正を行うべきですが、利用しているサイトが侵害された場合にリスクを軽減する方法もあります。

いつものように、ウェブサイトと共有するデータは、どうしても必要なものに限定してください。持っていないデータは盗まれることはありません。

オンラインショップで注文する際は、今後の購入のためにカード情報を保存するチェックボックスにチェックを入れないでください。その情報はサーバーに保存されてしまいます。

「ゲストとしてチェックアウト」というオプションがある場合は、それを利用しましょう。そうすることで、アカウントに紐づく個人情報の量を減らすことができます。

パスワードの流用は避けてください。あるサイトが侵害された場合、複数の場所で同じ認証情報を使用していると、複数のアカウントが乗っ取られる事態を招く恐れがあります。パスワードマネージャーを使えば、複雑でユニークなパスフレーズを作成し、それらを記憶しておくことができます。

可能な場合は、クレジットカードでお支払いください。多くの地域では、クレジットカードを利用することで、より強力な不正利用防止対策が受けられます。

---

---

信頼しているサイトがハッキングされたとき

データ漏洩の影響を受けたと思われる場合は、以下の手順に従ってください：

• 会社の指示を確認してください。各侵害事案は異なるため、会社に連絡して発生した内容を確認し、提供される具体的な指示に従ってください。
• パスワードを変更する。盗まれたパスワードは、変更することで窃盗犯に使えなくすることができます。他のことには使わない強力なパスワードを選びましょう。さらに良い方法は、パスワード・マネージャーにパスワードを選んでもらうことです。
• 二要素認証（2FA）を有効にしてください。可能であれば、第二要素としてFIDO2準拠のハードウェアキー、ノートパソコン、またはスマートフォンを使用してください。一部の2FA方式はパスワードと同様にフィッシング攻撃の標的となり得ますが、FIDO2デバイスに依存する2FAはフィッシング攻撃の対象になりません。
• なりすましに注意してください。詐欺師が侵害されたプラットフォームを装って連絡してくる可能性があります。被害者への連絡の有無は公式サイトで確認し、別の連絡手段で接触してきた人物の身元を必ず確認してください。
• 時間をかけましょう。フィッシング攻撃は、あなたが知っている人物やブランドになりすますことが多く、未配達、アカウントの停止、セキュリティ警告など、緊急の注意が必要なテーマが使われています。
• カード情報を保存しないことを検討してください。サイトにカード情報を記憶させる方が確かに便利ですが、小売業者が情報漏洩被害に遭った場合、リスクが高まります。
• 個人情報の不正取引をオンラインで検知した場合に通知し、事後の復旧を支援するアイデンティティ監視を設定してください。

---