CISA KEVに追加されたDrupal CoreのSQL Injection脆弱性について、対象バージョン、PostgreSQL利用、公開サイト、更新判断、ログ確認を実務向けに整理する。
何が起きたか
2026年5月20日、Drupal Security Teamは Drupal Core CVE-2026-9082 を公開した。Drupal.orgのアドバイザリでは、Drupal Coreのデータベース抽象化APIに関するSQL Injection脆弱性として説明されている。
2026年5月22日、CISAはこの脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加した。Drupal.orgの更新情報では、実環境での悪用試行が検知されていることを反映してリスクスコアが更新されたとされている。
この記事では、攻撃リクエストや悪用条件の再現には触れない。Web担当者、情シス、開発者が、Drupal利用有無、PostgreSQL利用、対象バージョン、公開範囲、更新・暫定緩和、ログ確認をどう整理するかに絞る。
影響を受ける可能性がある組織・担当者
影響確認の中心になるのは、Drupalでコーポレートサイト、会員サイト、採用サイト、自治体・学校・NPOサイト、社内ポータルを運用しているWeb担当、開発会社、情シス、CSIRTだ。
特に優先して確認したいのは、次の環境だ。
- Drupal Core 8.9以降から11.3系までの対象バージョンを利用している
- PostgreSQLをデータベースとして使っている
- サイトがインターネット公開されている
- Drupal本体、Symfony、Twigなど依存コンポーネントの更新運用が属人化している
- CMS本番環境、検証環境、古いキャンペーンサイトの棚卸しができていない
- Webサーバー、WAF、CMS、DB、IdP、EDRのログ確認手順が決まっていない
Drupal.orgは、このSQL Injection脆弱性自体はPostgreSQL利用サイトに影響すると説明している。一方で、同リリースにはSymfonyやTwigのセキュリティ更新も含まれるため、PostgreSQLではない環境でも公式アドバイザリに沿って更新要否を確認する必要がある。
なぜ重要か
CMSは、公開Webサイト、管理画面、コンテンツ編集者、フォーム、会員データ、外部連携が集まる場所になりやすい。Drupal本体の脆弱性対応では、単に「パッチを当てる」だけでなく、公開範囲、DB種類、管理者権限、編集権限、ログをまとめて見る必要がある。
初動では、次の4点を分ける。
| 観点 | 確認すること |
|---|---|
| 対象性 | Drupal Coreの有無、対象バージョン、PostgreSQL利用、保守対象外バージョン |
| 露出 | 公開サイト、管理画面、検証環境、古いサブドメイン、委託先管理範囲 |
| 更新 | Drupal Core、依存コンポーネント、テーマ・モジュール、互換性、ロールバック条件 |
| 証跡 | Webアクセスログ、Drupalログ、DBログ、WAF、IdP、EDR、変更履歴 |
NVDでは、CNAであるDrupal.orgのCVSS 3.1スコアが9.8 Criticalとして表示されている。スコアだけで判断せず、KEV掲載、公開サイトかどうか、PostgreSQL利用、顧客・個人情報の有無、更新までの時間で優先順位を決める。
まず確認すべきこと
最初にやることは、対象サイトの棚卸しと公式情報の確認だ。攻撃再現や外部探索ではなく、資産台帳、構成管理、CMS管理画面、ホスティング管理画面、ログから確認する。
- Drupal.org、CISA KEV、NVDでCVE番号、対象バージョン、更新先、KEV追加日、対応期限を確認する。
- 本番、検証、旧キャンペーンサイト、委託先管理サイトを含め、Drupal Coreの利用有無を洗い出す。
- Drupal Coreのバージョンと、データベースがPostgreSQLかどうかを確認する。
- インターネット公開、Basic認証、VPN内、社内限定、ステージング環境に分類する。
- 更新可能なDrupalバージョン、依存コンポーネント、テーマ・モジュール互換性、ロールバック条件を確認する。
- Webアクセスログ、WAF、Drupalログ、DBログ、管理者操作ログを確認できる状態にする。
CyberLensでは、この流れを Web CMS KEV初動確認チェックリスト に整理した。CVE全般の優先度判断には CVE初動対応チェックリスト も併用できる。
推奨される初動対応
初動では、更新作業と同時に、対象外判断とログ確認を記録する。後から「なぜ対象外と判断したか」「いつ更新したか」「未対応の例外は何か」を説明できる状態にする。
| 優先度 | 対応 | 完了条件 |
|---|---|---|
| 高 | Drupal利用サイトの棚卸し | 本番・検証・旧環境・委託先管理範囲まで一覧化した |
| 高 | 対象性確認 | Drupal Coreバージョン、PostgreSQL利用、対象/対象外の根拠を記録した |
| 高 | 更新計画 | 更新先、作業者、検証項目、ロールバック条件、作業時間を決めた |
| 中 | 暫定緩和 | 更新までの間、公開範囲、管理画面、WAF、アクセス制限を見直した |
| 中 | ログ確認 | Web、Drupal、DB、WAF、IdP、EDRの確認範囲と結果を記録した |
| 中 | 利用者・委託先連携 | コンテンツ編集者、開発会社、ホスティング担当に確認依頼を出した |
旧バージョンや保守対象外バージョンを使っている場合は、今回のパッチ適用だけでは完了扱いにしない。移行計画、保守責任者、例外期限、代替統制を明確にする。
やってはいけないこと
緊急脆弱性の通知を受けた直後は、焦って確認範囲を広げすぎたり、未確認の情報を断定したりしやすい。
- 攻撃リクエストやPoCを本番・検証環境で試さない。
- CVSSだけで「全サイト即停止」と判断しない。公開範囲、DB種類、データ重要度、更新可否を分ける。
- PostgreSQLではないという理由だけで、同時に含まれる依存コンポーネント更新を無視しない。
- 委託先管理、古い検証環境、閉鎖済みと思っているサブドメインを確認対象から外さない。
- 更新後のバージョン確認、ログ確認、対象外判断の記録を省略しない。
公式情報の確認先
このニュースは、次の一次情報をもとに整理した。
- Drupal.org: Drupal core - Highly critical - SQL injection - SA-CORE-2026-004 — 公式アドバイザリ。対象バージョン、PostgreSQL影響、更新先、リスク更新を確認できる。
- CISA Known Exploited Vulnerabilities Catalog: CVE-2026-9082 — KEV追加日、対応期限、要求事項を確認できる。
- NVD: CVE-2026-9082 — CVE説明、CNAスコア、CWE、参考リンクを確認できる。
Drupal.orgとNVDの情報は更新される可能性がある。現時点で公開情報から確認できる範囲では、対象バージョン、PostgreSQL利用、更新先、KEV掲載有無を自社環境と突き合わせることが初動の中心になる。
関連する CyberLens 内部リンク
このテーマは、CMS運用、SQL Injection、CVE優先度、ログ確認をまとめて見ると判断しやすい。
- Web CMS KEV初動確認チェックリスト
- CVE初動対応チェックリスト
- CVEとCVSSの違い
- Webアプリケーション攻撃の基礎
- 脆弱性管理の基礎
- SQLインジェクションとは
- KEVとは
- Patch Managementとは
まとめ
Drupal Core CVE-2026-9082は、Drupalを使う公開Webサイトにとって、更新判断とログ確認を急いで整理すべき脆弱性だ。特にPostgreSQL利用、公開サイト、保守対象外バージョン、委託先管理範囲を見落とすと、対応完了の判断が曖昧になる。
まずは Web CMS KEV初動確認チェックリスト で、対象サイト、DB種類、更新先、暫定緩和、ログ確認、記録を揃える。パッチ適用だけで終わらせず、対象外判断と例外期限まで残すことが、実務上の完了条件になる。
