お問い合わせ
ブログ

CVE-2026-44825:Apache Solrにおけるデフォルト認証情報の脆弱性分析

本記事では、Apache Solr CVE-2026-44825の技術的原因と攻撃フローを分析し、Criminal IP IT資産検索を通じて外部に公開されたSolr Admin資産がどのような攻撃対象領域を形成するのかを考察します。

2026年6月、Apache SolrのBasic Authentication設定ツールに関連する脆弱性CVE-2026-44825が公開されました。Apache Solrは、検索、インデックス作成、ログ分析、文書検索などに利用されるオープンソースの検索プラットフォームであり、企業内部のアプリケーションやデータフローをつなぐ中核インフラとして運用されるケースが多くあります。

今回の脆弱性は、単に認証が設定されていない環境で発生する問題ではありません。管理者がセキュリティ対策としてBasic Authenticationを有効化していた場合でも、設定過程で意図しないテンプレートユーザーアカウントが同時に構成される可能性がある点が重要です。該当アカウントが削除されていない、または強力なパスワードに変更されていない状態でSolr Adminインターフェースが外部に公開されている場合、攻撃者は公開された管理画面を通じて管理者権限でのアクセス可能性を検証できます。

本記事では、Apache Solr CVE-2026-44825の技術的原因と攻撃フローを分析し、Criminal IP IT資産検索を通じて外部に公開されたSolr Admin資産がどのような攻撃対象領域を形成するのかを考察します。

CVE-2026-44825:Apache Solr脆弱性の概要

Apache Solr CVE-2026-44825脆弱性の概要を示したAI生成画像
項目内容
脆弱性IDCVE-2026-44825
影響製品Apache Solr
影響バージョンApache Solr 9.4.0~9.10.1, Apache Solr 10.0.0
脆弱性の種類ハードコードされた認証情報/安全でないデフォルト初期化
関連CWECWE-798, CWE-1188
CVSSスコア9.8 (Critical)
主な条件bin/solr auth enable로 Basic Authenticationを設定した環境

CVE-2026-44825は、Apache SolrでBasic Authenticationを有効化する過程で発生する認証構成の脆弱性です。特定バージョンのSolrでbin/solr auth enableコマンドを使用した場合、管理者が直接指定したアカウントに加えて、superadminadminsearchindexといったテンプレートユーザーアカウントが同時に構成される可能性があります。

問題は、これらのアカウントが運用者によって意図的に作成されたものではない可能性がある点です。管理者は認証設定が正常に完了したと判断するかもしれませんが、実際には追加アカウントが残っている場合があります。これらのアカウントが削除されていない、または安全なパスワードに変更されていない場合、攻撃者は既知のデフォルト認証情報を利用してSolrクラスターへのアクセスを試みることができます。

つまり、今回の脆弱性は認証の欠如ではなく、認証設定過程で発生するセキュリティ上の死角に近いものです。そのため、Basic Authenticationが有効化されているかどうかだけを確認するだけでは不十分であり、実際のユーザー構成と外部公開状況をあわせて確認する必要があります。

技術的原因:Basic Authentication設定過程におけるテンプレートアカウントの問題

Apache Solrは、管理インターフェースとAPIアクセスを保護するためにBasic Authenticationをサポートしています。運用者は bin/solr auth enable コマンドを使用して、認証を迅速に有効化できます。この方式には、security.json を手動で作成しなくても認証設定を適用できるという利点があります。

しかし、脆弱なバージョンでは、この自動化された設定過程において、管理者が指定したユーザー以外のテンプレートユーザーアカウントが同時に作成される可能性があります。運用者がこれらのアカウントの存在を認識していない場合、認証が有効化されているにもかかわらず、別のアクセス経路が残る結果となります。

リスク構造は次のとおりです。

  1. 管理者がSolrを保護するためにBasic Authenticationを有効化
  2. bin/solr auth enable の設定過程で、追加のテンプレートユーザーが作成
  3. 運用者が該当アカウントの存在を認識していない可能性
  4. Solr Adminインターフェースが外部に公開されている場合、攻撃者は該当アカウントを対象にアクセスを試みることができる
  5. アクセスに成功後、Solrクラスターの管理者権限の取得につながる可能性

この構造が危険である理由は、管理者が「認証を設定したため安全である」と誤認する可能性があるためです。実際のセキュリティ状態は、認証の有効化有無ではなく、 security.jsonにどのようなユーザーが存在するか、各アカウントのパスワードが安全であるか、Solr Adminが外部からアクセス可能であるかによって決まります。

攻撃フロー:外部公開されたSolr Adminから管理者権限アクセスに至るまで

外部公開されたSolr Adminから管理者権限アクセスに至るまで

CVE-2026-44825を悪用した攻撃は、次のような流れで展開される可能性があります。

まず攻撃者は、インターネットスキャンを通じて外部からアクセス可能なSolr Admin画面を探索します。ページタイトル、HTTPレスポンス、サービスバナー、認証ページなどが識別指標として利用される可能性があります。特に「Solr Admin」というページタイトルは、外部に公開されたSolr管理画面を識別するうえで重要な手がかりとなり得ます。

Solr Admin画面が確認されると、攻撃者は当該資産が実際にSolrの管理インターフェースであるか、認証が適用されているか、認証方式が何であるかを確認します。認証が適用されていない一部の環境では、/solr/admin/info/systemエンドポイントを通じてSolrのバージョン情報が露出する可能性があります。また、ログイン画面が表示される環境であっても、ページソースやJSリソースのパスに含まれるバージョンパラメータから、使用中のSolrバージョンを推定できる場合があります。

その後、攻撃者は確認したバージョンがCVE-2026-44825の影響範囲に該当するかを判断し、Basic Authenticationの設定過程で生成されたテンプレートアカウントが残っているかどうかを検証できます。

脆弱な環境においてテンプレートアカウントが削除されていない、または安全に変更されていない場合、攻撃者はそれらを通じてSolrクラスターに管理者権限でアクセスできる可能性があります。管理者権限を取得すると、コレクション、コア、スキーマ、インデックスデータ、設定ファイルなどを確認または変更できるため、検索結果の改ざん、データ露出、サービス停止につながるおそれがあります。

また、Solrは内部アプリケーション、ログシステム、文書ストレージ、データベースと連携しているケースが多いため、攻撃者はSolrの設定やインデックスデータをもとに内部システムの構成を推定し、後続の攻撃経路を見つける可能性があります。

Criminal IP IT資産検索で確認した外部公開Solr Admin資産

Apache Solrは、本来、内部サービスまたは制限されたネットワーク内で運用されることが望ましいです。しかし、実際の運用環境では、開発サーバー、テストサーバー、クラウドの一時展開、リバースプロキシ設定ミス、アクセス制御の不備などにより、Solr Admin画面が外部に公開される場合があります。

Criminal IP IT資産検索で次のクエリを使用し、外部から識別可能なSolr Admin資産を確認しました。

Criminal IP IT資産検索でtitle: “Solr Admin”の露出資産を検索した結果

Criminal IP 検索クエリ: title: “Solr Admin”

2026年6月時点で、該当クエリにより合計1,154件の外部公開資産が確認されました。これは、インターネット上でSolr Admin管理インターフェースとして識別可能な資産が相当数存在することを示しています。

title: "Solr Admin"クエリは、実際のApache Solr Adminページを識別するための条件として活用できます。一部の資産では、管理画面またはシステム情報エンドポイントを通じてSolrのバージョン情報が直接露出する可能性があり、認証画面が表示される場合でも、JSリソースに含まれるバージョン情報が手がかりとなる可能性があります。攻撃者はこれらの情報を組み合わせることで、外部公開されたSolr資産がCVE-2026-44825の影響を受けるバージョンに該当するかどうかを追加で確認できます。

ただし、この結果のすべてがCVE-2026-44825に対して脆弱であることを意味するわけではありません。実際の影響有無は、Apache Solrのバージョン、Basic Authenticationの設定方式、security.json 内のユーザー構成、テンプレートアカウントの削除有無によって異なります。しかし、Solr Admin画面が外部から確認できるという事実だけでも、攻撃者は該当資産を対象に、バージョン識別、認証方式の確認、デフォルトアカウントの検証、追加脆弱性の探索を試みることができます。

つまり、title: "Solr Admin"の検索結果は、脆弱な資産数ではなく、攻撃者が外部から識別できるSolr管理インターフェースの露出規模を示す指標として解釈する必要があります。

Criminal IPで確認された外部公開Apache Solr個別資産の分析事例
Criminal IPで確認された外部公開Apache Solr個別資産の分析事例

個別資産の分析事例でも、外部公開されたSolr Admin資産が実際の攻撃対象領域につながり得る手がかりを確認できます。Criminal IPで確認された特定の資産は、title: "Solr Admin"条件で識別されており、TCP 80番ポートでSolr Admin管理画面が外部に公開されていました。該当資産のHTTPバナーでは、Apache/2.4.52 (Ubuntu)のサーバー情報が確認され、ページリソースのパスに含まれるバージョンパラメータから、Solr 9.10.1バージョンであると推定可能な情報が露出していました。

Solr 9.10.1は、CVE-2026-44825の影響範囲に含まれるバージョンです。ただし、この事実だけで該当資産が実際に脆弱であると断定することはできません。実際の影響有無は、bin/solr auth enableの使用有無、 security.json 内のテンプレートユーザーアカウントの存在有無、デフォルト認証情報の変更有無を追加で確認する必要があります。

それでも、この事例は外部に公開されたSolr Admin資産が攻撃者にどのような手がかりを提供し得るのかを示しています。攻撃者は公開された管理画面を通じてSolr Adminの存在有無を確認し、ページソースやJSリソースのパスからバージョン情報を推定したうえで、影響を受けるバージョンに該当するかどうかを判断できます。また、Criminal IP基準で該当資産はInboundリスクがCriticalに分類されており、19件の脆弱性情報もあわせて確認されました。これは、外部公開された管理画面、バージョン情報、オープンポート、関連脆弱性情報が組み合わさることで、攻撃者が優先的に探索し得る攻撃対象領域になり得ることを意味します。

外部公開Solr Adminのセキュリティリスク

外部に公開されたSolr Adminインターフェースは、単なるWeb画面の露出ではありません。Solrは検索インデックスとクエリ処理を担いますが、実際の運用環境では組織のデータフローと密接に連携しています。

攻撃者がSolrの管理者権限を取得した場合、次のようなリスクが発生する可能性があります。

  1. インデックスデータへのアクセス
    Solrには、文書、ログ、商品情報、ユーザーデータ、内部検索メタデータなどがインデックス化されている場合があります。攻撃者は管理機能や検索APIを通じて、データ構造や機密情報を把握できる可能性があります。
  2. 検索結果の改ざん
    SolrがWebサービスや内部ポータルの検索機能と連携している場合、攻撃者はインデックスやスキーマを改ざんし、検索結果を歪める可能性があります。これは、サービスの信頼性低下や業務上の混乱につながるおそれがあります。
  3. サービス停止
    管理者権限がある場合、コレクションの削除、設定変更、リソース過負荷の誘発などを通じて、検索サービスを停止させることができます。Solrが中核サービスの検索機能を担っている場合、障害の影響はサービス全体に拡大する可能性があります。
  4. 内部システム構造の露出
    Solrの設定には、内部ホスト名、データパス、連携システム情報、認証構成などが含まれる場合があります。攻撃者はこれらをもとに内部ネットワーク構造を推定し、後続の攻撃経路を見つける可能性があります。

パッチ状況および対応策

CVE-2026-44825への対応で最も重要なのは、単なるバージョン確認ではなく、実際の認証構成状態を確認することです。特に、bin/solr auth enableを使用してBasic Authenticationを設定した環境は、優先的に点検する必要があります。

運用者は、次の項目を優先的に確認する必要があります。

  • Apache Solr 9.4.0〜9.10.1または10.0.0を使用しているか確認
  • bin/solr auth enableコマンドを通じてBasic Authenticationを設定したか確認
  • security.json内にsuperadminadminsearchindexなどのテンプレートユーザーが存在するか確認
  • 不要なテンプレートアカウントの削除、または強力なパスワードへの変更
  • Solr Adminインターフェースおよび/solr/admin/info/systemエンドポイントの外部公開有無を確認
  • ファイアウォール、VPN、アクセス制御リストを通じてSolr Admin管理画面へのアクセスを制限
  • 認証失敗ログ、管理者APIアクセスログ、設定変更履歴を確認
  • 修正版が提供された場合のアップグレード計画を策定

今回の脆弱性は、Solrのバージョンだけを確認すれば十分というものではありません。組織は、内部資産リストに登録されたSolrサーバーだけでなく、クラウド、テスト環境、開発サーバー、過去プロジェクトで作成された一時的な資産まで含めて、外部公開有無を点検する必要があります。特にSolr Adminが公衆インターネット上で確認できる場合、該当資産は脆弱性の影響有無にかかわらず、優先的な点検対象とする必要があります。

FAQ

Q1. Solr Adminが外部から見える場合、すべてCVE-2026-44825に対して脆弱ですか?

いいえ。CVE-2026-44825の実際の影響有無は、SolrのバージョンとBasic Authenticationの設定方式によって異なります。ただし、Solr Adminが外部から見えるということは、攻撃者が該当資産を容易に識別し、脆弱性の有無を確認できることを意味するため、優先的な点検対象となります。

Q2. 認証を有効化していれば安全ですか?

必ずしもそうではありません。今回の脆弱性の核心は、認証がない環境ではなく、認証を設定する過程で意図しないテンプレートアカウントが残る可能性がある点です。そのため、認証の有効化有無だけでなく、実際のユーザー一覧と security.jsonの構成を確認する必要があります。

Q3. 今すぐ最初に実施すべき対応は何ですか?

外部に公開されたSolr Adminインターフェースが存在するかを確認したうえで、影響を受けるバージョンとBasic Authenticationの設定方式を点検する必要があります。その後、 security.jsonでテンプレートユーザーを削除するか、強力なパスワードに変更し、Solr Adminへの外部アクセスを制限する必要があります。また、システム情報エンドポイントやJSリソースを通じて、バージョン情報が外部に露出していないかもあわせて確認する必要があります。

結論

CVE-2026-44825は、「認証が設定されている」という事実だけで実際の保護状態を判断してはならないことを示しています。今回の脆弱性は、認証の欠如ではなく、認証設定過程で意図しないアカウントが残る可能性があるという構造的な問題に近いものです。

Criminal IP IT資産検索で title: "Solr Admin"クエリにより1,154件の外部公開資産が確認されたことは、攻撃者がインターネット上でSolr管理インターフェースを識別できる入口が一定数存在することを意味します。また、一部の環境では /solr/admin/info/systemエンドポイント、またはJSリソースのパスを通じてSolrのバージョン情報が露出する可能性があり、攻撃者が影響を受けるバージョンに該当するかどうかを追加で判断する手がかりとなり得ます。

もちろん、これらの資産がすべてCVE-2026-44825に対して脆弱であることを意味するわけではありません。しかし、外部公開された管理画面は、攻撃者がバージョン、認証方式、アカウント構成、追加脆弱性の有無を確認するための起点になります。

組織は、Solrの使用有無とバージョンだけを確認するだけでは不十分です。外部公開有無、Basic Authenticationの設定方式、security.jsonのユーザー構成、オープンポート、関連脆弱性、ログ履歴をあわせて確認する必要があります。攻撃者は、脆弱性が公開された後、外部に露出した管理画面を迅速に探索します。防御側は、それよりも先に自組織の攻撃対象領域を把握する必要があります。

なお、関連してCVE-2026-34197: Apache ActiveMQ RCE脆弱性分析 の記事も参考にできます。

Criminal IP(criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。


本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。

データソース: Criminal IP(https://www.criminalip.io/ja), SecurityOnline(https://securityonline.info/apache-solr-default-credentials-cve-2026-44825/), NVD(https://nvd.nist.gov/vuln/detail/CVE-2026-44825), Apache oss-security(https://seclists.org/oss-sec/2026/q2/731)

関連記事: https://www.criminalip.io/ja/knowledge-hub/blog/8550