メインコンテンツへスキップ

Joomlaの脆弱性情報、日本語の二次情報を鵜呑みにしないでください

| Alaudae.JP

2026年6月、Joomlaの定番エディタ拡張である JCE(Joomla Content Editor)に、最高深刻度の脆弱性CVE-2026-48907(CVSS 10.0)が公表されました。未認証の第三者が、ログインなしで任意のPHPコードをサーバ上で実行できるというもので、現在も自動化された攻撃が世界中で続いています。該当する環境では、最優先で対応すべき重大な問題です。

一方で、この件をきっかけに日本語で出回っている解説の中に、事実と異なる説明や、すでに古くなった情報が混じっているのを見かけます。同じくJoomlaでサイトを運営する立場から、確認できた事実を共有し、注意を促したいと思います。

正しいタイムライン

  • 6月3日 JCE 2.9.99.5 が(CVE-2026-48907 の修正版)リリース。事実上ここが公表の起点です。
  • 6月6〜8日 2.9.99.6(セキュリティ強化)追加。
  • 6月9日 実証コード(PoC)がGitHubで公開され、ここから自動化された大量攻撃が本格化しました。
  • 6月16日 米CISAが Known Exploited Vulnerabilities(KEV)カタログへ追加。実際の悪用が確認されています。
  • 6月18日 2.9.99.7 がリリース。これが現在の推奨版です。

なお今回の件について「AIによって初めて破られた」、「Joomlaは長年クラックされてこなかった」といった表現も見かけます。技術的に少し補足すると、今回の本質は、認可チェックの漏れとアップロード制御の不備という、以前から知られているタイプの問題です。PoCの公開をきっかけに攻撃が自動化・大量化した、という流れで捉えると実態に近いと思います。

最も重要な注意点:更新だけでは終わりません

公式も明言していますが、アップデートは攻撃の「入口」を塞ぐだけで、すでに侵入されたサイトを掃除はしません。侵入された痕跡がある場合は、設定ファイル(configuration.php)の内容まで読まれている前提で動く必要があります。

最低限、次の認証情報をすべて入れ替えてください。

  • Joomla管理者パスワード
  • データベースの認証情報
  • ホスティング/コントロールパネルのパスワード
  • FTP/SSHの認証情報
  • configuration.php の secret(セッション・トークン鍵)の再生成
  • Stripe等、外部サービスのAPIキーの再発行

古いバックアップを戻すだけでは、古い鍵や古いパスワードが復活し、漏れた情報がそのまま生き続けます。また復元の起点は「なんとなく数か月前」ではなく、アクセスログで未認証リクエスト(`task=profiles.import` 宛て)の最も古い記録を調べ、それより前のバックアップを選ぶのが正攻法です。復元後のファイルも必ずマルウェアスキャンにかけてください。

Joomla 3 / 4 はすでにサポート終了(EOL)です

これは今回の脆弱性とは別の、より根本的な注意点です。

  • Joomla 3 は2023年8月にEOL。延長セキュリティサポート(eLTS)も2025年2月で終了しており、現在はいかなる種類のセキュリティ更新も提供されません。
  • Joomla 4 もアクティブサポートが2024年10月で終了しています。
  • 現行は Joomla 5(サポートは2027年10月まで)および Joomla 6 です。

日本語の情報サイトの中には、いまだに「Joomla 3の設定方法」「Joomla 4の設定方法」を主要コンテンツとして案内し続けているものがあります。既存サイトの保守上の参考ならまだしも、これから新規に構築する人がこれらのバージョンを選ぶ理由はありません。更新が止まったCMSは、攻撃者にとって「もう直らないと分かっている標的」です。古い手順をそのまま土台にすることは、最初から脆弱な出発点を選ぶことになります。

鵜呑みにしないために:一次情報を確認しましょう

セキュリティ情報は、誰がいつ書いたかで価値が大きく変わります。二次情報・まとめ記事を見たときは、必ず次のような一次情報に当たって裏を取ってください。

  • Joomla公式のセキュリティ告知(developer.joomla.org)
  • JCE開発元(joomlacontenteditor.net)のリリースノート
  • 米CISAのKEVカタログ、およびCVE/NVDの該当記録

更新日が古い、バージョンのサポート状況が現状と合っていない、対応手順に認証情報のローテーションが含まれていない。こうした記事は、たとえ体裁が整っていても、判断の拠り所にしないのが安全です。

Joomlaは、適切に保守すれば十分に堅牢なCMSです。だからこそ、正確で新しい情報をもとに運用することが、利用者一人ひとりの責任だと考えます。

*この記事は、公開されている一次情報(Joomla公式、JCE開発元、CISA KEV、CVE/NVD)に基づき、2026年6月時点の情報をまとめたものです。*

Isamu Hibari / Alaudae.JP

その他のストーリー