Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > 認証前RCEを許すベクターデータベース、RAGのデータ層に潜む課題

認証前RCEを許すベクターデータベース、RAGのデータ層に潜む課題

by Patrick Spencer updated 5月 29, 2026 サイバーセキュリティー・リスク管理
Reading Time: 8 minutes

2026年5月18日、HiddenLayerはChromaToast(正式にはCVE-2026-45829)に関する調査結果を発表しました。CVSSスコア:10.0。攻撃経路:ネットワーク。必要な権限:なし。ユーザー操作:不要。この脆弱性はChromaDBのPython FastAPIサーバーのcreate_collectionハンドラーに存在します。サーバーはクライアントから提供されたモデル識別子を信頼し、認証チェックが実行される前に、trust_remote_codeをtrueに設定して外部のHuggingFaceリポジトリからコードをロードするなどの処理を行います。認証されていない攻撃者がHTTPリクエストを送信すると、サーバーは攻撃者が制御するモデルコードを取得・実行し、その結果、APIキー、環境変数、マウントされたシークレット、サーバープロセスが読み取れるすべてのファイルへの任意コード実行が可能となります。

HiddenLayerのShodanベースのスキャンでは、約73%のデプロイメントが外部に露出していることが判明しました。HiddenLayerは2026年2月17日にChromaプロジェクトと初めて連絡を取り、その後2月24日、3月5日、4月16日にフォローアップを行いましたが、いずれも返答はありませんでした。独立系研究者Azraelxuemoも2025年11月に同じ脆弱性を報告しましたが、こちらも返答はありませんでした。暫定的な対策はネットワーク制限のみで、パッチは存在しません。

5つの重要ポイント

1. ChromaToastはCVSS 10.0の認証前RCEが現実に発生

HiddenLayerは2026年5月18日にCVE-2026-45829を公開し、ChromaDB Python FastAPIサーバーのバージョン1.0.0以降すべてが影響を受けることを明らかにしました。インターネット経由でアクセス可能なデプロイメントの約73%が攻撃可能で、パッチは提供されていません。ChromaのホームページにはCapital OneやUnitedHealthcareも掲載されています。これはニッチなツールではなく、大規模なRAGを支えるインフラであり、インシデント対応は「修正策がない」状態から始まります。

2. このバグはRAGアーキテクチャの根本的な欠陥を露呈

ChromaDBは月間1,300万回のpipダウンロードがあり、Mintlify、Factory AI、Weights & Biasesなどの本番RAGパイプラインの背後で稼働しています。埋め込み、プロンプト、取得ドキュメントを保持するデータベースが認証前に攻撃可能な場合、サーバープロセスが読み取れるすべてのシークレット(APIキー、環境変数、マウントされた認証情報など)が危険にさらされます。これはアプリケーション層の脆弱性ではなく、その下層のデータインフラ層の脆弱性です。

3. 脆弱性の悪用が19年ぶりに主要な侵害経路に

2026年のVerizon DBIRによると、未修正の脆弱性が原因の侵害が全体の31%を占め、認証情報の悪用(13%)を初めて上回りました。IBM X-Forceは、公開アプリケーションの脆弱性悪用が前年比44%増加し、公開された脆弱性の56%が認証不要で悪用可能であると報告しています。RAGインフラは、こうした状況下で現実的な攻撃対象となっています。

4. 多くの企業がAIデータ層のガバナンスを欠如

現在、AIデータゲートウェイを中央集約的に運用している組織は43%のみで、57%は分散的・部分的、あるいは全くコントロールがありません。政府機関の90%、医療機関の77%が中央集約化されていません。AIの導入スピードがAIガバナンスの成熟度を上回っており、ChromaToastはそのギャップが本番環境で現れた事例です。

5. アーキテクチャ的な解決策はデータのガバナンスであり、インフラのパッチ適用ではない

RAGパイプラインがガバナンスされたゲートウェイを通じてゼロトラストアクセス、ABAC適用、FIPS 140-3暗号化、改ざん検知可能な監査ログのもとでエンタープライズデータにアクセスする場合、単一コンポーネントの認証前RCEが発生してもデータ侵害には直結しません。脆弱性は「情報流出」ではなく「封じ込め」の問題となります。

自社のセキュリティ、信じていませんか?本当に証明できますか

Read Now

なぜベクターデータベースの認証前RCEは異質なのか

認証前のRCE脆弱性は発生し得ますが、今回のケースがアーキテクチャ的に異なるのは、ChromaDBがAIスタックのどこに位置しているかにあります。RAGパイプライン内のベクターデータベースは、システム内で最も機密性の高い情報(エンタープライズ文書の埋め込み、モデル応答の根拠となる取得チャンク、規制対象データを含む可能性のあるプロンプト、上流データソースにアクセスするためのアプリケーションシークレット)と隣接しています。ベクターデータベースが侵害されると、被害範囲はRAGパイプライン全体に及びます。埋め込みから文書内容が漏洩し、保存されたプロンプトにはPII、PHI、CUIが含まれる可能性があり、APIキーは到達可能な範囲すべてにマウントされます。

より深刻なのはアーキテクチャ上の失敗です。ChromaDBのPythonサーバーにおける「誰がリクエストしているかを確認する前に外部レジストリからモデルコードを取得・実行してもよい」という信頼前提は、現在多くのRAG導入で共通して見られるものです。リトリーバル層はインフラの配管として扱われ、エンタープライズデータへのガバナンスされたアクセスとは見なされていません。配管部分に認証前RCEがある場合、その上位のアプリケーション層で構築されたガバナンスでは補完できません。AIインフラはデータインフラであり、機密フォルダーへのアクセス管理と同じコントロールが、埋め込みストアへのクエリ、モデルアーティファクトのマウント、エージェントランタイム経由のツール呼び出しにも適用される必要があります。

今、最も警戒すべきは脆弱性悪用による侵害

2026年のVerizon DBIRは、脆弱性悪用が19年ぶりに認証情報窃取を上回ったことを報告しています。未修正の脆弱性が原因の侵害は31%、認証情報の悪用は13%に減少しました。2025年に組織がCISAの既知悪用脆弱性カタログ(KEV)をパッチ適用した割合は26%にとどまり、2024年の38%から低下。完全なパッチ適用までの中央値も32日から43日に伸びています。防御側の対応速度が鈍化する一方で、攻撃側の悪用速度は加速しています。

IBM X-Force 2026年脅威インテリジェンスインデックスでは、公開アプリケーションの脆弱性悪用が前年比44%増加、観測されたインシデントの40%が脆弱性悪用によるもので、公開された脆弱性の56%が認証不要で悪用可能とされています。ベクターデータベースは、ネットワーク経由でポートが公開されている場合、公開アプリケーションとなり、HiddenLayerの73%という露出率はまさにこのデプロイパターンを示しています。

AI攻撃者はパッチより速い

脆弱性悪用シフトと並行して進むもう一つのトレンドが、ChromaToast問題をさらに深刻化させています。英国AIセキュリティ研究所によると、最先端AIモデルが完了できるサイバータスクの難易度は、2025年末には8カ月ごと、2026年2月には4.7カ月ごとに倍増しています。スタンフォード大学の2026年AIインデックスでは、CybenchサイバーセキュリティベンチマークでのAIモデルによる未誘導解決率が2024年の15%から2025年には93%に急上昇。

AnthropicのGTG-1002の2025年11月公開は、抽象的な話を現実のものとしました。中国の国家支援グループがClaude CodeとMCPツールを使い、約30組織を標的としたサイバースパイ活動の戦術作業の80〜90%(偵察、脆弱性発見、悪用、横展開、認証情報収集など)をAIで自動化しました。これをChromaDBの公開タイムラインと比較すると、HiddenLayerは2026年2月17日にChromaに初連絡し、その後4月までに3回フォローアップしましたが、返答はありませんでした。脆弱性は公開され、PoCロジックも文書化され、パッチは存在しません。防御側の時計は止まったまま、攻撃側の時計はコンピュートサイクル単位で進んでいます。

多くの企業が直面するAIデータガバナンスの現状

AIデータゲートウェイを中央集約的に運用している組織は43%のみ。27%は分散型コントロールとポリシー、19%は部分的・アドホックなコントロール、7%はAI専用コントロールが全くありません。政府機関の90%、医療機関の77%、金融サービスの60%が中央集約化されていません。これらの数字は、ChromaToastパターンにさらされている集団を示しています。中央ゲートウェイを持つ組織は、すべてのAIデータアクセスに対し認証・認可・暗号化・監査を一元的に適用できます。一方、部分的または未整備の組織は、個々のベクターデータベース、埋め込みストア、エージェントランタイムが、それぞれ独立した認証前攻撃面となっています。

アーキテクチャ的解決策:コンポーネントではなくデータ層をガバナンス

アーキテクチャ的な代替策は、AIデータアクセスをエンタープライズセキュリティがこの10年で進めてきたように「データ層でのゼロトラスト」として扱うことです。すべてのリクエストは、どのコンポーネント経由であっても認証・ポリシーに基づく認可・監査が実施されます。

Kiteworks Secure MCPサーバーとAIデータゲートウェイは、このパターンを実装しています。RAGパイプラインはガバナンスされたブリッジを通じてエンタープライズデータにクエリを実行。AIアシスタントはOAuth 2.0認証を用いたModel Context Protocol経由でファイルにアクセスし、トークンはOSキーチェーン内で管理されモデルには渡りません。ABACポリシーがすべての操作をリアルタイムで評価し、レート制限により上流コンポーネントが侵害されても大量抽出を防止。FIPS 140-3認証暗号化、TLS検証、強化された仮想アプライアンスが全経路を支えます。すべてのやり取りは改ざん検知可能な監査証跡でリアルタイムにSIEMへ記録されます。

アーキテクチャ的なテストはシンプルです。もし明日ベクターデータベースが侵害された場合、被害範囲は?ガバナンスされたゲートウェイアーキテクチャでは、被害範囲はABACポリシーによって制限され、侵害されたコンポーネントが持っていた認証情報には依存しません。Kiteworksプライベートデータネットワークは、メール、ファイル共有、MFT、SFTP、Webフォーム、API、AI連携までを一つのポリシーエンジンと統合監査ログでカバーします。

今四半期にセキュリティリーダーが取るべき行動

まず、エンタープライズデータに関わるすべてのベクターデータベース、埋め込みストア、エージェントランタイムを棚卸ししましょう。各コンポーネントの認証モデル、ネットワーク露出、到達可能な認証情報をマッピングします。多くのセキュリティチームは、AIインフラがデータサイエンスチームによってCMDBに登録されずに構築されたため、全体像を把握できていません。

次に、AIインフラを本番インフラとして脆弱性管理の対象としましょう。同じパッチSLA、露出管理の徹底、KEV主導の優先順位付けを適用します。2026年DBIRの「KEV掲載脆弱性のパッチ適用率26%」という事実は、AIコンポーネントにも従来インフラと同様に当てはまります。

三つ目に、RAGやエージェントのデータアクセスをガバナンスされたAIデータゲートウェイ経由に移行しましょう。これを実施している組織は43%のみで、残り57%はChromaToastパターンがすべてのAIワークロードで再現されるリスクに直面しています。データ層での中央集約化は、複数のコンポーネントレベルの攻撃面を一つのガバナンスされたコントロールプレーンに統合します。

四つ目に、AIエージェントにも人間ユーザーと同様にゼロトラストデータアクセスを必須としましょう。すべてのAIデータリクエストを認証・ポリシーに基づく認可・レート制限・暗号化・完全な帰属情報付きでログ化します。スタンフォード大学の2026年AIインデックスでは、セキュリティとリスクがエージェント型AIの拡張における最大の障壁(62%の組織が指摘)とされており、ゼロトラストデータアクセスがコントロール可能な変数です。

五つ目に、AIデータ層にSIEM可視化を実装しましょう。認証前RCEは定義上、認証ログを残しません。可視性は上流、すなわちすべてのデータやり取りを仲介するゲートウェイから得る必要があります。AIデータアクセスのリアルタイムSIEMフィードは、次のChromaToast級の脆弱性公開時におけるフォレンジックの基盤となります。

AI関連の脅威から機密データを守る方法についてさらに知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

信頼できるクライアントのみにネットワークアクセスを制限し、露出しているインスタンスは調査が完了するまで既に侵害されている可能性があるものとして扱ってください。サーバープロセスが読み取れるすべてのシークレット(APIキー、マウントされた認証情報、環境変数など)をローテーションしましょう。長期的にはRAGデータアクセスをガバナンスされたAIデータゲートウェイの背後に移行してください。ネットワーク制限は応急処置であり、アーキテクチャ的解決策ではありません。

RAGコンポーネントがインターネット経由でアクセス可能かつガバナンスされていない場合、重大なリスクがあります。医療機関の77%が中央集約型AIデータゲートウェイを持たず、14%はAI専用コントロールが全くありません(Kiteworks 2026年予測より)。HIPAAのセキュリティ規則はアクセス制御と監査証跡を要求していますが、ガバナンスされていないRAGコンポーネントではこれを満たせません。PHI埋め込みを保持するコンポーネントで認証前RCEが発生した場合、報告義務のあるインシデントとなります。

CUIに関わるAIコンポーネントで認証前RCEが発生した場合、CMMCおよびDFARSの報告対象事象となります。政府機関の90%が中央集約型AIデータゲートウェイを持っていません(Kiteworks 2026年予測より)。CMMCのAC、AU、IAコントロールファミリーは、AIコンポーネントを含むすべてのデータアクセスに対し、認可の強制と監査ログを要求しています。ABACと改ざん検知可能なログによるデータ層のガバナンスは、これら3つのファミリー要件を同時に満たします。

パッチ適用は一つのコンポーネントの一つの脆弱性への対応です。AIデータアクセスのガバナンスは、どのコンポーネントが侵害されても、誰または何がエンタープライズデータにアクセスできるかを全体で制御します。中央ゲートウェイがアーキテクチャ標準となる理由は、パッチ適用がAIインフラの脆弱性発見ペースに追いつかないためです。ChromaToastの公開タイムライン(数カ月の無反応、パッチなし)がその理由を示しています。

はい。これは人員効率の高い選択肢です。一つのガバナンスされたコントロールプレーンが、複数のコンポーネントレベルのコントロールを代替します。Kiteworks Secure MCPサーバーとAIデータゲートウェイは、単一のアーキテクチャ的な強制ポイントを提供し、小規模なセキュリティチームでも、すべてのベクターデータベース、埋め込みストア、エージェントランタイムを個別にパッチ適用するより大きな効果を得られます。

追加リソース

  • ブログ記事
    ゼロトラスト戦略で実現する手頃なAIプライバシー保護
  • ブログ記事
    77%の組織がAIデータセキュリティで失敗している理由
  • eBook
    AIガバナンスギャップ:2025年に91%の中小企業がデータセキュリティでロシアンルーレットをしている理由
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局は「AIポリシーがあるか」ではなく、「機能している証拠」を求めている

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks