CVE-2026-45247とは何ですか？

Magento（Adobe Commerce）向けのキャッシュ拡張機能「Mirasvit Full Page Cache Warmer」に存在するCVSS 9.8の深刻な脆弱性です。CacheWarmerクッキーに細工したシリアライズPHPオブジェクトを送るだけで、認証なしにサーバー上で任意のPHPコードを実行できます。2026年6月3日にCISAのKEV（既知悪用脆弱性）カタログに登録されました。

PHPデシリアライズ攻撃とは何ですか？

PHPのunserialize()関数が攻撃者の制御する文字列を処理する際に、既存クラスの__wakeup()や__destruct()マジックメソッドを連鎖させて（ガジェットチェーン）任意コードを実行させる攻撃手法です。攻撃者自身のコードをサーバーに送り込む必要がなく、サーバー内の既存コードを「再利用」するため、シグネチャベースの検知が通用しにくい点が特徴です。

パッチはリリースされていますか？いつまでに適用すべきですか？

2026年5月25日にMirasvitがバージョン1.11.12でパッチをリリースしています。CISAは米連邦政府機関に対して2026年6月6日までの適用を義務付けました。民間企業も同等の緊急度で対応すべきです。管理画面のExtensions→Mirasvitでバージョンを確認し、1.11.12未満であれば即座にアップデートしてください。

攻撃者がMagentoサーバーを掌握した場合何が起きますか？

Magecartと呼ばれるクレジットカードスキミング（チェックアウトページのJavaScript改ざんによる支払い情報の横流し）、顧客データベース全件の窃取、ウェブシェルの設置による将来の再侵入路の確保、管理者アカウントの乗っ取り、サーバーリソースを悪用した暗号通貨マイニングなどが実行されます。特にクレジットカード情報の漏洩はPCI DSS違反として法的・財務的に深刻なリスクをもたらします。

即座にパッチ適用できない場合の代替策はありますか？

WAF（Web Application Firewall）のルールでCacheWarmerクッキーにBase64エンコードされた長い文字列を含むリクエストをブロックすることが有効な緩和策です。ImpervaのWAFは自動で保護されています。ただし根本的な解決にはバージョン1.11.12以上へのアップデートが必須です。また、サーバー上のFile Integrity Monitoring（FIM）を有効にしてウェブシェル設置をいち早く検知できるようにしておくことも重要です。

MagentoキャッシュプラグインCVE-2026-45247（CVSS 9.8）——Cookieから未認証RCEで6,000超の店舗が標的に

ECサイトのバックエンドは、顧客のクレジットカード情報・個人情報・注文履歴を一手に抱える。そこを守るMagentoに対し、2026年6月、一本のHTTPリクエストで認証なしにサーバーを完全掌握できる脆弱性が実際に悪用された。CVE-2026-45247（CVSS 9.8）は、人気のキャッシュ拡張機能「Mirasvit Full Page Cache Warmer」のCookieを細工するだけでPHPの任意コード実行（RCE）に至る。CISAは2026年6月3日にKEV（既知悪用脆弱性）カタログへ追加し、連邦機関に即時対応を命じた。約6,000のMagentoストアが影響を受け、Impervaは現在も攻撃が継続していると報告している。

概要

CVE：CVE-2026-45247。Mirasvit Full Page Cache Warmer（Magento/Adobe Commerce拡張機能）のPHPデシリアライズ脆弱性。
深刻度：CVSS 9.8（Critical）。未認証・遠隔・ユーザー操作不要。任意PHPコード実行（RCE）。
成立条件：バージョン1.11.12より前のMirasvit Cache Warmerが有効なMagento/Adobe Commerceサーバー。
攻撃経路：CacheWarmerクッキーに細工したシリアライズPHPオブジェクトをHTTPリクエストで送信するだけ。
パッチ：2026年5月25日にバージョン1.11.12でリリース済み。
CISA KEV追加日：2026年6月3日。連邦機関の修正期限：2026年6月6日。
影響規模：Sansecが約6,000ストアを特定（CDN経由サイトは未カウントで実数はさらに多い）。

何が起きたのか

タイムラインと対応経緯

2026年5月25日：Mirasvitがバージョン1.11.12でパッチをリリース
2026年6月3日：CISAがKEVカタログに追加。Impervaが活発な攻撃活動を観測・公表
2026年6月6日：米連邦政府機関へのパッチ適用期限（CISA指定）

パッチリリースから約10日でCISAがKEVへ追加したという流れは、現実の攻撃が急速にエスカレートしていることを示している。Sansecは約6,000ストアが同拡張機能を使用していると推計するが、CloudflareなどCDN経由のサイトは特定が困難であり「実際の数はこれより多い」としている。

技術的な解説

PHPデシリアライズ脆弱性とは何か

本脆弱性の根幹は「PHPのデシリアライズ（unserialize()）処理の安全でない使用」だ。シリアライズとはPHPオブジェクトを文字列に変換して保存・転送する処理で、デシリアライズはその逆だ。この処理自体は正当な機能だが、攻撃者が細工した文字列をデシリアライズさせると「ガジェットチェーン」を通じて任意コードが実行される危険性がある。

攻撃フロー：CookieからRCEへ

CVE-2026-45247の攻撃フローは次の通りだ：

攻撃者がHTTPリクエストを送信。CacheWarmerクッキーにBase64エンコードされた悪意あるシリアライズPHPオブジェクトを設定
Mirasvit Cache Warmer拡張機能がクッキー値を無検証でunserialize()に渡す
Magentoのコードベース内に存在するガジェットチェーンが起動
最終的に任意PHPコードが実行され、サーバーを完全掌握

重要な点は、この攻撃に認証が一切不要という事実だ。攻撃者は単一のHTTPリクエストを送信するだけでRCEを達成できる。ログイン情報もアカウントも不要で、対象のURLを知っていれば誰でも試みられる。

ガジェットチェーンとは何か

「ガジェットチェーン」とは、アプリケーション内に既存するクラスのメソッドを連鎖させて危険な操作を実現する手法だ。Magentoのような大規模なPHPフレームワークには数千のクラスが存在し、その中には次のマジックメソッドを持つものがある：

__wakeup()：デシリアライズ時に自動実行されるメソッド
__destruct()：オブジェクト破棄時に自動実行されるメソッド

攻撃者はこれらを連鎖させ、最終的にコード実行に至るチェーンを構築する。攻撃者自身の悪意あるコードをサーバーに送り込む必要がなく、既存の正規コードを「再利用」するだけでよい。そのためシグネチャベースの検知が通用しにくい。

Sansecの研究者はMagentoと依存ライブラリ内にこのガジェットチェーンが存在することを特定しており、実証済みのエクスプロイトが攻撃者に流通している。スキャンから実際の侵害まで、自動化により数分で完了する。

Impervaが観測した実際の攻撃パターン

Impervaが観測した攻撃には次の特徴がある：

HTTPリクエストのCacheWarmerクッキーフィールドにBase64エンコードされたシリアライズオブジェクトを設定
ペイロードはPHP Object Deserialization経由でよく悪用されるガジェットチェーンを呼び出す構造
自動化されたスキャンと特定ターゲットへの手動攻撃の両方が観測

なぜパッチ後も悪用が続くのか

パッチが5月25日に公開されているにもかかわらず6月3日時点でもCISA KEV追加を要するほど攻撃が継続していた。これはECサイト運用特有の事情を反映している：

更新テストの複雑さ：拡張機能のアップデートはサイト全体への影響が大きく、機能検証テストに時間がかかる
保守委託の問題：サードパーティの保守会社に運用を委ねている場合、緊急パッチの適用フローが遅れがちだ
認知の低さ：Mirasvitは大手ベンダーに比べて知名度が低く、CVE情報が運用担当者に届きにくい
「動いているから触らない」文化：収益直結の本番ECサイトは変更への心理的障壁が高い

日本企業への影響

日本ではMagento（現Adobe Commerce）はWooCommerce、Shopifyに次ぐ主要なECプラットフォームとして中〜大規模のBtoB・BtoCサイトで利用されている。Mirasvitのキャッシュ拡張機能は表示速度改善を目的とした人気プラグインであり、特に高トラフィックなECサイトで導入されているケースが多い。

攻撃者がMagentoサーバーを掌握した後に行うこと

CVE-2026-45247でサーバーを掌握した攻撃者が実行できる主な手口を挙げる：

Magecartクレジットカードスキミング：チェックアウトページのJavaScriptを書き換え、支払い情報（カード番号・CVV・住所）をリアルタイムで外部送信
顧客データベースの全件窃取：氏名・住所・メール・注文履歴・暗号化パスワード
ウェブシェルの設置：将来の再侵入を可能にするバックドアの埋め込み
管理者アカウントの乗っ取り：管理コンソールへの不正アクセス
サーバーリソースの悪用：暗号通貨マイニングマルウェアの設置、DDoS踏み台化

特にクレジットカードスキミングは、2025年度の割賦販売法改正（セキュリティ対策義務化強化）の観点から日本のEC事業者に深刻なリスクをもたらす。侵害が発覚した場合、カード会社への報告義務・被害者通知・最悪の場合はPCI DSS準拠取り消しによるクレジットカード決済不可能という事態になりうる。

SIer・受託開発会社のリスク

日本のSIer・受託開発会社が顧客に代わってMagentoサイトを保守・運用しているケースは多い。CVE-2026-45247のような緊急脆弱性では、顧客への通知→承認取得→テスト→本番適用というフローが迅速に機能しないと、自社が損害賠償責任を問われるリスクがある。保守契約の内容と緊急時対応プロセスを今一度確認すべき時だ。

今すぐ確認すべきポイント

1. 最優先：バージョン確認とパッチ適用

Magentoの管理画面でMirasvit Full Page Cache Warmerの使用有無を確認（System → Extensions → Mirasvit）
バージョンが1.11.12以上であることを確認。それ以下の場合は即座にアップデート
アップデートを即座に実施できない場合、WAFルールでCacheWarmerクッキーにBase64文字列を含むリクエストをブロック

2. 侵害の痕跡確認

Webサーバーアクセスログで、CacheWarmerクッキーフィールドに長いBase64文字列を含む異常なHTTPリクエストを検索
サーバー上に不審なPHPファイル（ウェブシェル）が設置されていないかFIMで確認
チェックアウトページのHTMLソースに見覚えのない外部スクリプトタグやiframeが含まれていないか確認（Magecartスキミング対策）
/var/log/以下の最近の変更ファイルを確認

3. 予防策・運用改善

Magentoサードパーティ拡張機能のCVE情報を定期的にモニタリング（Sansecブログ、NVD、ベンダー公式チャネル）
WAFを導入しPHPデシリアライズ攻撃パターンのシグネチャを有効化
定期的なFile Integrity Monitoring（FIM）でサーバー上のファイル変更を継続的に監視
Mirasvit以外のサードパーティ拡張機能についても最新バージョンへの更新状況を棚卸しする

参考情報

The Hacker News: CISA Adds Exploited Magento RCE Flaw CVE-2026-45247 to KEV Catalog（2026年6月4日）
SecurityWeek: Mirasvit Vulnerability Exploited to Execute Code on Magento Servers
Imperva: Imperva Customers Protected Against CVE-2026-45247 in Mirasvit Full Page Cache Warmer for Magento
CISA: Known Exploited Vulnerabilities Catalog（2026年6月3日追加）