オープンソースCMS「Ghost」の深刻なSQLインジェクション脆弱性(CVE 2026 26980、深刻度9.4)が活発に悪用され、ハーバード大学やオックスフォード大学、プライバシー重視の検索エンジンDuckDuckGoなどの有名サイトを含む、全世界で700以上のウェブサイトが乗っ取られる被害が発生しています。 攻撃の手口は、未認証のままデータベースから管理者用APIキーを窃取し、その権限で記事を一括改ざん。偽のCloudflare認証ページを埋め込み、訪問者を騙して端末上で悪意あるコマンドを実行させる「ClickFix」という社会工学的手法です。

Create a landscape editorial hero image for this Studio Global article: What is the CVE-2026-26980 vulnerability in Ghost CMS, how are attackers actively exploiting it to compromise over 700 websites, what payloa. Article summary: ## What is CVE-2026-26980. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malware on" source context "Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware" Reference image 2: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malwa
数ヶ月前に修正パッチが公開された脆弱性が、今年最大級のウェブサイト乗っ取りキャンペーンのエンジンとして悪用されています。攻撃者は、人気のオープンソースCMS「Ghost」の深刻なSQLインジェクション脆弱性を悪用し、管理者権限を奪取。ハーバード大学やオックスフォード大学といった世界的な教育機関から、プライバシー重視の検索エンジンDuckDuckGoまで、信頼性の高いドメインを次々とマルウェア配信プラットフォームへと変貌させています。
「CVE-2026-26980」は、Node.js製コンテンツ管理システム(CMS)であるGhostのコンテンツAPIに存在するSQLインジェクションの脆弱性で、CVSS(共通脆弱性評価システム)で最高レベルに近い9.4の深刻度と評価されています 。この問題の核心は、APIが
filter および order クエリパラメータを処理する方法にあります。具体的には、ORDER BYfilter=slug:[...] や order=slug:[...] といったパラメータに細工を施すことで、認証されていない遠隔の攻撃者でもデータベース内のあらゆるテーブルに対して、ブラインドSQLインジェクションによる読み取りが行えてしまうのです 。
これにより、bcryptでハッシュ化されたパスワードやセッションシークレット、そして特に重要な管理者APIキーといった機密情報が露出する危険性があります 。管理者APIキーが漏洩すると、攻撃者はGhostの管理APIへのフルアクセス権を手に入れ、記事の作成・改ざんやページ内容の変更など、サイトのコンテンツを自由に操作できるようになります。
この脆弱性に対する修正パッチは、2026年2月にGhostバージョン6.19.1で静かに提供されました。しかし、多くのサイト運営者がアップデートを適用しなかったため、悪用への扉は開かれたままとなりました 。
中国のセキュリティ企業である奇安信(QiAnXin)の脅威インテリジェンスチーム「XLab」が2026年5月に発見したこのキャンペーンは、すでに700を超えるドメインに被害を及ぼしており、その中には信頼性の高い有名サイトも多数含まれています 。被害が確認されたサイトには、ハーバード大学、オックスフォード大学、オーバーン大学といった教育機関のポータルサイトや、**プライバシー重視の検索エンジン「DuckDuckGo」**の関連サイトが含まれます
。
さらに事態を複雑にしているのは、少なくとも2つの競合する攻撃グループが、同じ脆弱なサイトを奪い合うように侵害している点です。XLabの調査によれば、ある攻撃グループによって不正コードが埋め込まれたGhostサイトが、その数時間後には別の攻撃グループによって再び改ざんされるというケースも観測されています 。
サイトに埋め込まれるJavaScriptは意図的に小さく作られており、二段階式のローダーとして機能します。最初の小さなスクリプトが、外部の攻撃サーバーから実際の攻撃ロジックを取得して実行する仕組みです 。これまでに確認されている最終的なペイロード(攻撃の最終段階で実行される不正プログラム)は以下の通りです。
この攻撃チェーンは、データベースからの情報窃取と認証済みコンテンツの改ざんの両方を含むため、対策は脆弱性自体の修正と、侵害の可能性がある場合の事後対応の両面から行う必要があります。
slugフィルターパラメータを含むリクエスト、記事の一括更新処理の痕跡が無いかを重点的に調査します パッチの提供は迅速でも、実際に適用されるまでのタイムラグこそが常に最大の課題です。今回のキャンペーンは、深刻度の高いCMSの脆弱性が公表後に消え去ることはなく、攻撃者にとって格好の「武器」となり、アップデートを怠った組織が積極的に標的にされるという現実を、改めて痛感させるものです。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
オープンソースCMS「Ghost」の深刻なSQLインジェクション脆弱性(CVE 2026 26980、深刻度9.4)が活発に悪用され、ハーバード大学やオックスフォード大学、プライバシー重視の検索エンジンDuckDuckGoなどの有名サイトを含む、全世界で700以上のウェブサイトが乗っ取られる被害が発生しています。
オープンソースCMS「Ghost」の深刻なSQLインジェクション脆弱性(CVE 2026 26980、深刻度9.4)が活発に悪用され、ハーバード大学やオックスフォード大学、プライバシー重視の検索エンジンDuckDuckGoなどの有名サイトを含む、全世界で700以上のウェブサイトが乗っ取られる被害が発生しています。 攻撃の手口は、未認証のままデータベースから管理者用APIキーを窃取し、その権限で記事を一括改ざん。偽のCloudflare認証ページを埋め込み、訪問者を騙して端末上で悪意あるコマンドを実行させる「ClickFix」という社会工学的手法です。
影響を受けるGhost 3.24.0から6.19.0のバージョンを利用している場合は、至急6.19.1以降へアップデートし、全ての管理者APIキーをローテーション(再発行)した上で、サイト内の全記事に不正なスクリプトが埋め込まれていないか監査する必要があります。