出典: Security NEXT – https://www.security-next.com/182468
S3互換オブジェクトストレージ「MinIO」にクリティカルな脆弱性が判明
オープンソースのS3互換オブジェクトストレージ「MinIO」において、認証情報を回避される可能性のある重大な脆弱性が発見されました。特にLDAP認証を利用している環境で影響が大きく、オープンソース版は開発終了に伴い修正が行われていません。
主要なポイント
- 脆弱性の内容(CVE-2026-33419): LDAP構成環境におけるトークン処理に問題があり、エラーメッセージの差異から有効なユーザー名を判別可能。さらに認証試行に制限がなく、総当たり攻撃が可能です。
- 影響範囲: オープンソース版のMinIO全バージョン(最終リリース含む)が対象で、GitHubのリポジトリは2026年2月にアーカイブされて以降更新されていません。
- 商用版での対応: 「MinIO AIStor」というブランドの商用版では、この脆弱性は2026年3月のリリースで修正されています。
- 脆弱性の深刻度: CVSSv4.0のベーススコアは9.1で、最高評価の「クリティカル」とされています。
技術的な詳細や背景情報
MinIOはAmazon S3互換のオブジェクトストレージとして広く利用されており、特にオンプレミスやプライベートクラウド環境でのデータ保存に適しています。LDAP(Lightweight Directory Access Protocol)はユーザー認証に用いられるプロトコルで、MinIOのLDAP連携機能は企業環境でのアクセス管理に重要な役割を果たしています。
今回の脆弱性は、LDAP認証時に発生するトークン処理の不備に起因します。具体的には、認証失敗時のエラーメッセージがユーザー名の有効性を示すため、攻撃者は有効なユーザー名を特定可能です。さらに認証試行に制限がないため、総当たり攻撃(ブルートフォース攻撃)で有効ユーザーの認証情報を推測し、STS(Security Token Service)の一時認証情報を不正に取得できます。これにより、対象ユーザーのS3バケットやオブジェクトへの不正アクセスが可能となります。
影響や重要性
この脆弱性は認証情報の回避を許すため、機密データの漏洩や改ざん、サービスの不正利用につながる重大なリスクを孕んでいます。特に企業や組織でMinIOのLDAP認証を利用している場合、攻撃者により内部リソースが侵害される恐れがあります。
また、オープンソース版の開発終了により、今後の修正やセキュリティパッチの提供が期待できないため、利用者は商用版への移行や他の安全なストレージソリューションの検討が急務です。
まとめ
MinIOのLDAP認証に関する脆弱性「CVE-2026-33419」は、認証情報の回避や不正アクセスを許す深刻な問題です。オープンソース版は開発終了で修正されておらず、商用版「MinIO AIStor」でのみ修正が行われています。MinIOを利用している組織は、速やかに脆弱性の影響を確認し、商用版への移行や代替製品の検討、アクセス制御の強化などの対策を講じることが重要です。
