Flowise脆弱性の概要──CVSS 10.0が意味するもの
ノーコードAIエージェントビルダー「Flowise」に、CVSS 10.0(最高スコア)の致命的脆弱性(CVE-2025-59528)が発見された。この脆弱性を悪用すると、認証なしでサーバー上の任意のファイルを読み取り、リモートコード実行(RCE)が可能になる。
CVSS 10.0は「攻撃の複雑さが低く、認証不要で、ネットワーク経由で悪用可能」であることを意味する。つまり、インターネットに公開されたFlowiseインスタンスは、スキルのない攻撃者でも即座に侵害できる状態にある。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2025-59528 |
| CVSSスコア | 10.0(Critical) |
| 影響範囲 | 認証バイパス、任意ファイル読み取り、リモートコード実行 |
| 影響バージョン | Flowise 2.1.0以前の全バージョン |
| 修正バージョン | Flowise 2.2.0以降 |
| 攻撃条件 | インターネットからアクセス可能なインスタンスであれば認証不要で悪用可能 |
12,000以上のインスタンスが攻撃対象に
Shodanによるスキャン結果では、インターネット上に公開されたFlowiseインスタンスが12,000以上確認されている。その多くは認証設定が未構成のまま稼働しており、脆弱性の公開と同時にPoCコード(概念実証コード)がGitHub上に公開されたことで、攻撃のハードルは極めて低い。
被害が想定されるシナリオ
- APIキーの窃取:FlowiseはOpenAI、Anthropic、Azure等のAPIキーをサーバー上に保管している。これらが窃取されると、攻撃者が被害者のクレジットで大量のAPI呼び出しを実行できる
- 社内データへのアクセス:FlowiseをRAG(検索拡張生成)で利用している場合、接続先のベクトルDB・ドキュメントストアの情報が漏洩する
- マルウェアの配布拠点化:RCEにより、Flowiseサーバーがマルウェア配布やC2通信の拠点として悪用される
- サプライチェーン攻撃の起点:Flowiseを社内システムと連携している場合、そこから内部ネットワークへの侵入が可能になる
AIツールが狙われる理由
Flowiseの脆弱性は氷山の一角だ。AIツール全般がサイバー攻撃の新たな標的になっている理由は以下の通りだ。
理由1:急速な普及と未成熟なセキュリティ
AI開発ツールは機能開発が優先され、セキュリティレビューが後回しになりがちだ。オープンソースプロジェクトの場合、セキュリティ専任のレビュアーがいないケースも多い。
理由2:高価値な認証情報の集中
AIツールは複数のAPI(OpenAI、クラウドサービス、社内DB等)と連携するため、1つのツールを侵害するだけで大量の認証情報を一括取得できる。攻撃者にとってのROIが極めて高い。
理由3:「とりあえず動かす」文化
PoC(概念実証)や社内検証の段階で「とりあえずインターネットに公開して試す」という運用が行われやすい。認証設定やネットワーク制限を後回しにした結果、そのまま本番運用に移行してしまうケースが多発している。
理由4:IT部門の管理外で導入される
AIツールは事業部門やエンジニア個人が独自に導入するケースが多く、IT部門のセキュリティ管理の対象外になりがちだ(シャドーIT問題)。
対策──Flowiseユーザーが今すぐやるべきこと
即時対応(今日中に実施)
- バージョン確認:稼働中のFlowiseのバージョンを確認する。2.1.0以前であれば即座にアップデートする
- 認証設定の確認:`FLOWISE_USERNAME`と`FLOWISE_PASSWORD`の環境変数が設定されているか確認する。未設定の場合は認証なしで全機能がアクセス可能な状態だ
- 公開状態の確認:Flowiseがインターネットから直接アクセス可能な状態であれば、即座にアクセスを制限する
短期対策(1週間以内に実施)
- ネットワーク制限:FlowiseをVPN経由またはIP制限付きでのみアクセス可能にする。リバースプロキシ(nginx等)で認証レイヤーを追加する
- APIキーのローテーション:Flowiseに保管されていた全てのAPIキー(OpenAI、Azure、AWS等)を即座に無効化し、新しいキーを発行する
- ログの確認:アクセスログを確認し、不審なリクエスト(特に`/api/v1`エンドポイントへの異常なアクセス)がないか調査する
AI開発ツール全般のセキュリティチェックリスト
Flowiseに限らず、LangChain、LlamaIndex、Dify、Open WebUI等のAI開発ツールを利用している場合は、以下のチェックリストで自社の状態を点検すべきだ。
| チェック項目 | 対象 | 確認方法 |
|---|---|---|
| 認証が有効か | 全AIツール | ブラウザでURLに直接アクセスし、ログイン画面が表示されるか確認 |
| インターネットに公開されていないか | 全AIツール | 外部からURLにアクセスできるか確認。Shodanで自社IPを検索 |
| APIキーがハードコードされていないか | ソースコード | `.env`ファイルや設定ファイルにAPIキーが平文で記載されていないか確認 |
| 最新バージョンか | 全AIツール | 公式リリースページで最新バージョンを確認し、差分がないか確認 |
| IT部門が把握しているか | 全AIツール | 社内のAIツール利用実態を棚卸し、管理台帳を作成する |
| バックアップがあるか | 設定・データ | ツールの設定ファイル、フロー定義、接続先情報のバックアップを取得 |
| ログが記録されているか | 全AIツール | アクセスログ・操作ログが有効であり、一定期間保存されているか確認 |
よくある質問(FAQ)
Q. Flowiseを社内ネットワークだけで使っていれば安全ですか?
社内ネットワーク内であっても、他の端末が侵害された場合にFlowiseが攻撃対象となるリスクがある。認証設定は社内利用であっても必ず有効にすべきだ。また、VPN機器の脆弱性を突いて外部から社内ネットワークに侵入されるシナリオも想定する必要がある。
Q. Flowise以外のAIツール(Dify、LangFlow等)にも同様の脆弱性はありますか?
個別のCVEは異なるが、同様のアーキテクチャ(Webベース、API連携、認証任意)を持つAIツールには同種のリスクが存在する。Difyには2025年にCVSS 9.8の脆弱性(CVE-2025-30351)が報告されている。AIツールは一般的にセキュリティの成熟度が低く、継続的な脆弱性監視が不可欠だ。
Q. AIツールの導入を社内で禁止すべきですか?
禁止するのではなく、利用ルールを策定して管理下に置くのが正しいアプローチだ。禁止するとシャドーIT化が進み、かえってリスクが高まる。「IT部門への事前申請」「認証必須」「インターネット非公開」「定期的なバージョン確認」の4ルールを最低限として設定することを推奨する。
Q. APIキーが漏洩した場合、どの程度の被害が出ますか?
OpenAI APIキーが漏洩した事例では、数時間で数十万円相当のAPI呼び出しが実行されたケースが報告されている。AWS/Azureのキーが漏洩した場合は、クラウドリソースの不正利用(暗号通貨マイニング等)により数百万円の請求が発生するリスクがある。
まとめ──AIツールは「便利」と「危険」が表裏一体
Flowise CVE-2025-59528は、AI開発ツールのセキュリティが本番運用に耐えるレベルに達していない現実を突きつけた。AIの業務活用を推進する企業こそ、以下のアクションを優先すべきだ。
- 今日:社内で稼働しているAIツールの棚卸しを開始する
- 1週間以内:全AIツールの認証設定・公開状態・バージョンを確認する
- 1か月以内:AIツール利用に関する社内ルールを策定し、全社に周知する
GXO実務追記: サイバーセキュリティで発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 重要システムと個人情報の所在を棚卸ししたか
- [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
- [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
- [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
- [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
- [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
【CVSS 10.0】Flowise AIエージェントビルダーに致命的脆弱性|12,000インスタンスが攻撃対象にを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
関連記事
- インシデント対応フローテンプレート -- 脆弱性発見時の初動対応を迅速に行うための手順書
- 中小企業のセキュリティ予算計画ガイド -- AIツール管理を含むセキュリティ投資の考え方
- GXO導入事例 -- IT資産管理・脆弱性管理の導入実績
社内のAIツール、セキュリティは大丈夫ですか?
GXOでは、Flowise・Dify・LangChain等のAI開発ツールを対象としたセキュリティ診断を提供しています。公開状態の確認、認証設定のレビュー、APIキー管理の改善提案まで、AIツールの安全な運用体制を支援します。
※ オンライン完結OK | 現状把握だけでもお気軽にご相談ください