メインコンテンツへスキップ
Langflow CVE-2026-55255がCISA KEVに追加:AIワークフローの認可境界を確認する
ニュース 中級

Langflow CVE-2026-55255がCISA KEVに追加:AIワークフローの認可境界を確認する

ニュース 中級

Langflow CVE-2026-55255はAIワークフロー基盤の認可境界に関係するKEV対象脆弱性です。影響確認、更新、ログ保全、APIキー確認を実務手順で整理します。

何が起きたか

2026年7月7日、CISALangflow CVE-2026-55255 をKnown Exploited Vulnerabilities(KEV)カタログに追加した。CISA KEV JSONでは、BerriAI Langflowの「Authorization Bypass Through User-Controlled Key」と説明され、対応期限は 2026年7月10日 とされている。ransomware useは、現時点で公開情報から確認できる範囲では Unknown だ。

Langflow公式のGitHub Security Advisoryでは、Langflow 1.9.1未満が影響を受け、1.9.1以降が修正版とされている。内容は、AIワークフロー基盤でユーザー間のフロー実行権限が適切に分離されない可能性に関係する。

この記事では、公式アドバイザリに含まれる攻撃再現の詳細には踏み込まない。読者が行うべきことは、攻撃を試すことではなく、対象環境の有無、更新状況、外部公開、フロー所有権、ログ、LLM APIキーの影響範囲を確認することだ。

影響を受ける可能性がある組織・担当者

開発者・SRE

Langflowを検証環境、社内AIワークフロー、業務自動化、AIエージェント開発基盤として使っている場合、まず影響バージョンと公開範囲を確認する。Docker、pip、社内テンプレート、クラウド検証環境、PoC用インスタンスなど、正式な資産台帳に載りにくい環境も対象に含める。

情シス・SaaS管理者

部門主導でAIツールを導入している場合、管理者がLangflowの存在を把握していないことがある。誰が管理しているか、外部公開されているか、SSOやリバースプロキシで保護されているか、業務データやAPIキーを扱っているかを分けて確認する。

セキュリティ担当・CSIRT

更新完了だけで終わらせず、認可境界の不備があった期間に、他ユーザーのフロー実行、不自然なLLM API利用、想定外のプロンプト実行、外部連携の利用がなかったかを確認する。影響が疑われる場合は、証拠保全を優先する。

なぜ重要か

LangflowのようなAIワークフロー基盤には、LLM APIキー、プロンプト、業務データ、Webhook、DB接続、GitHubやSaaS連携が集まりやすい。認可境界が弱いと、単なる画面表示の問題ではなく、他ユーザーのフロー実行、外部API利用、ログや入力データの露出につながる可能性がある。

また、NVDではCNAスコアとしてHigh、GitHub Security AdvisoryではCriticalとして表示されており、スコア表記に差がある。実務では点数だけでなく、KEV登録、外部公開、保持データ、利用者数、APIキーの権限、監査ログの有無を合わせて優先度を決める必要がある。

まず確認すべきこと

  • Langflowを使っている本番、検証、部門利用、個人検証、CI環境を棚卸しする。
  • バージョンが1.9.1以降か、公式アドバイザリで示された修正版に到達しているか確認する。
  • インターネットから到達できるか、VPN内か、社内限定か、検証環境のみかを分類する。
  • フロー、ユーザー、ワークスペース、プロジェクト、APIキーの所有者と権限が分離されているか確認する。
  • 共有フロー、テンプレート、外部公開リンク、Webhook、外部SaaS連携の有無を確認する。
  • LLM APIキー、クラウドキー、DB接続情報、GitHub Tokenなど、Langflowから呼び出せる資格情報を一覧化する。
  • 対象期間の監査ログ、アプリログ、プロキシログ、IdPログ、LLM利用量・課金ログを保全する。
  • 不審なフロー実行、通常と異なる送信元、急な利用量増加、想定外のユーザー操作がないか確認する。

作業をそのまま進める場合は、AIワークフロー認可境界チェックリストを使う。CVE全般の優先度判断は、CVE初動対応チェックリストと合わせて確認する。

推奨される初動対応

やること

  • 対象環境を公式情報で示された修正版へ更新し、更新前後のバージョンを記録する。
  • 外部公開されているLangflowは、必要最小限の接続元、SSO、VPN、Zero Trust Accessなどに制限する。
  • フロー所有者、共有設定、ワークスペース分離、管理者ロールを確認し、過剰な共有を一時停止する。
  • 影響が疑われる期間のログを保全し、変更前にスクリーンショットや設定値を記録する。
  • LLM APIキーや外部SaaSトークンは、削除だけでなく、所有者、利用先、失効・再発行時刻、影響アプリを記録する。
  • 不審な実行やデータ露出が疑われる場合は、漏えい疑い初動テンプレートへ進む。

やらないこと

  • 本番環境で攻撃再現やPoC実行をしない。
  • 「ログに異常がない」と確認する前に、ログローテーションや設定削除をしない。
  • 更新だけで完了にして、フロー共有、APIキー、外部連携の確認を省略しない。
  • 公式情報で未確認の攻撃者名、被害規模、攻撃チェーンを社内外に断定しない。

記録すること

  • 対象環境、担当者、利用部門、公開範囲、認証方式。
  • 更新前後のバージョン、変更した設定、作業時刻、承認者。
  • 確認したログソース、対象期間、不審操作の有無。
  • 失効・再発行したAPIキー、影響を受けるアプリ、残る例外。
  • 追加調査が必要なフロー、ユーザー、外部連携、次回確認日。

判断基準

状況優先度初動判断
外部公開、未更新、業務データやLLM APIキーを扱う更新、公開制限、ログ保全、APIキー確認を同日に進める
社内限定だが複数部門が利用し、共有フローが多い中から高更新と共有設定確認を優先し、フロー実行ログを確認する
検証環境のみでサンプルデータ、外部連携なし更新し、本番相当のキーやデータが混入していないか確認する
不審なフロー実行、APIキー利用、課金増加があるCSIRTへエスカレーションし、証跡保全と影響調査に進む

関連するCyberLens内部リンク

公式情報・参考情報

まとめ

Langflow CVE-2026-55255は、AI基盤の「使えるか」ではなく「誰がどのフローを実行できるか」を確認する問題だ。更新、公開制限、ログ保全、APIキー棚卸し、フロー共有の見直しを同じチケットで進めると、後から説明できる初動対応になる。

まずは AIワークフロー認可境界チェックリスト で対象環境を整理し、必要に応じて 漏えい疑い初動テンプレート へ進む。

関連テーマを体系的に学ぶ 脆弱性管理(CVE・KEV)対応ガイド
ESC