eSecurity Planetは12月23日(現地時間)、「103K n8n Automation Instances at Risk From RCE Flaw」において、業務自動化プラットフォーム「n8n」にリモートコード実行(RCE: Remote Code Execution)の脆弱性が発見されたことを伝えた。
この脆弱性によって、世界中で10万3,000を超える自動化インスタンスがサイバー攻撃の危険にさらされているという。
きわめて深刻度が高い脆弱性「CVE-2025-68613」
n8nはオープンソースで開発されている業務ワークフローの自動化プラットフォーム。ノーコードまたはローコードでさまざまなアプリケーションを連携し、さまざまな業務プロセスを自動的に実行することができる。各種AIモデルを組み合わせてAIエージェントを作成することも可能。連携できるサービスやアプリケーションが多く、セルフホストであれば無料で使えることもあって、業務効率化を目指す組織で広く使われている。
今回発見された脆弱性は、特定の状況下で、ユーザーが入力したワークフロー式が安全でない環境で実行されてしまうというもの。これによって攻撃者は、管理者によって設定されたセキュリティ境界を回避して、リモートからホストOSのプログラムを直接呼び出せるようになる。悪用すれば、攻撃者はワークフローが利用する機密データへのアクセス、自動化ロジックの変更、悪意のあるプログラムを展開、ホスト上での永続的な侵害の確立などが可能になる。
脆弱性は「CVE-2025-68613」として追跡されており、深刻度を示すCVSSv3のスコアは9.9となっている。これは、悪用が容易で、悪用された場合の影響が大きい、きわめて危険性が高い脆弱性であることを意味する。
影響を受けるのは、バージョン0.211.0以降、および1.120.4、1.121.1、1.122.0より前のバージョンで、修正パッチを適用しない限り、n8nインスタンスを展開している環境そのものが攻撃に対して無防備な状態に陥る。記事では、セキュリティ企業Censysの調査結果として、全世界のネットワークに103,476件の脆弱なn8nインスタンスが発見されたと伝えている。
Censysによる調査結果は下記サイトで公開されており、12月25日時点で脆弱なn8nインスタンスは全世界で11万2,194件となっている。日本にも1,165件の脆弱なインスタンスがあるとのこと。
-
国別の影響を受ける可能性のあるホスト数 出典:Censys
2025年12月19日の時点ではアクティブな攻撃は報告されていないものの、すでにセキュリティ研究者によって概念実証(PoC)コードが公開されているため、今後脆弱なインスタンスを狙った攻撃が増える可能性があるという。
悪用リスクを軽減するための手順
eSecurity Planetでは、n8nに対する攻撃からシステムを保護するために、次の手順の実行を推奨している。
- 影響を受けるすべてのn8n環境を、直ちに修正されたバージョンにアップグレードする
- ワークフローの作成、編集、管理機能へのアクセスを信頼性の高いユーザーに制限し、2要素認証などフィッシング耐性のある認証方法を適用する
- 最小限の権限、適切なネットワークセグメンテーション、厳密に制御した外部接続などによってn8nのインスタンスを保護する
- n8n内のユーザーアカウント、ワークフローの変更、およびシークレットを監査し、脆弱な状態であった期間中に公開された可能性のある資格情報をローテーションする
- アプリケーション、システム、ネットワークのログを監視し、不正なコマンド実行、疑わしいワークフローアクティビティ、異常な外部接続の兆候がないかを確認する
- 潜在的な悪用を特定して対応能力を向上させるために、遡及的脅威ハンティングとインシデント対応準備レビューを実施する
また、この事例が自動化およびオーケストレーション基盤全般に潜む課題を浮き彫りにしたとも指摘されている。昨今の企業のITシステム環境では多数のサービス間接続を担うノーコード・ローコード系ツールが普及しており、一箇所の欠陥から横方向への侵入の伝搬が生じやすい。そのことを踏まえて、システム管理者はサービス間接続における暗黙の信頼を見直し、インフラに対する統制を強化することが求められている。
Windows 11タスクバーを快適に使うためのカスタマイズ7選 - 日常の操作の無駄を減らす
