MongoDBの脆弱性「MongoBleed」で認証前にメモリが丸裸に CISAも警告:「Heartbleed」再来か
MongoDBに潜む脆弱性「MongoBleed」が牙を剥く。認証前に機密データがメモリから盗み出されるという、Heartbleed再来の危機だ。パッチ以外の必須対策とは何か。
2025年12月、広く普及しているドキュメント指向データベース「MongoDB」に、深刻な脆弱(ぜいじゃく)性「CVE-2025-14847」が発見された。この脆弱性は、その性質が、2014年にインターネットを震撼させた「OpenSSL」の脆弱性「Heartbleed」を想起させることから、「MongoBleed」と命名されている。
CVE-2025-14847は、認証前の段階で標的サーバのヒープメモリを読み取ることを可能にする脆弱性だ。データベース内に格納されたデータだけでなく、メモリに一時的に保持されている管理者パスワードやクラウドサービスのAPIキーといった機密情報が攻撃者の手に渡るリスクがある。
米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)はCVE-2025-14847について、すでに攻撃活動への悪用が確認されているとみて、MongoDBのユーザー企業に対してセキュリティの強化を推奨している。何をすればいいのか。
CVE-2025-14847の危険性と、「パッチだけじゃない」対策
CVE-2025-14847の根本原因は、MongoDB Serverがネットワーク通信の最適化のために採用している圧縮アルゴリズム「zlib」の処理実装における論理エラーにある。具体的には、サーバ側のソースコードに含まれる「message_compressor_zlib.cpp」において、展開後のデータ長を検証するロジックに重大な不備が存在していた。この脆弱性は、認証前に発生するため、防御側にとって極めて不利な条件となっている。
悪用された場合に漏えいするデータは、単純なデータベースのレコードに留まらない。メモリには、システムの運用を支えるためのさまざまな機密情報が一時的に配置されており、それらが攻撃者の手に渡りかねない。攻撃者は、繰り返し不正パケットを送信することで、サーバのRAM(メインメモリ)の内容を網羅的にスキャンすることが可能になる。
CVE-2025-14847は、広範なMongoDBのバージョンに影響を及ぼしている。ユーザー企業はパッチ(修正プログラム)を速やかに適用する必要がある。既にサポートが終了しているバージョンを使用している場合、パッチが提供されないため、企業はより深刻な状況に直面することになる。
具体的な防御策
CVE-2025-14847への対処は、ソフトウェアの更新に留まらない。企業は「メモリから秘密情報が漏えいし、既に侵害されている」という前提に立ち、包括的な防御策を講じることが重要だ。
- 即時的な暫定回避策として、zlib圧縮を無効化
- システムの稼働状況や互換性の問題で、直ちにパッチ適用が困難な場合には、攻撃の糸口となっているzlib圧縮機能そのものを無効化することで、脆弱性の悪用を防ぐことができる。
- ネットワークレベルの封じ込めと最小権限の原則
- データベースサーバがインターネットから直接到達可能な状態にあることは極めて高いリスクを伴う。今回のような認証前脆弱性が発見された場合、ネットワーク隔離の有無が被害の有無を分ける要因となる。
- 不可欠な「秘密情報の再発行」
- CVE-2025-14847への対処において、見落とされがちで、かつ実行が困難なプロセスが「資格情報のローテーション(再発行)」だ 。パッチを適用したとしても、その適用前にメモリから盗み出された情報は、依然として攻撃者の手元で有効なまま残り続ける。管理者はデータベース、APIキー、セッショントークン、TLS証明書の秘密鍵などを速やかに刷新しなければならない。
Copyright © ITmedia, Inc. All Rights Reserved.