2026年2月18日、The Apache Software FoundationはApache Tomcatの3件の脆弱性(CVE-2025-66614、CVE-2026-24733、CVE-2026-24734)に対するアップデートを公開した。各脆弱性は、クライアント証明書認証の回避、HTTP/0.9リクエストにおけるセキュリティ制約の回避、OCSPによる証明書失効確認処理の回避を引き起こす。
修正済みバージョンはApache Tomcat 11.0.15、10.1.50、9.0.113(前2件)およびApache Tomcat 11.0.18、10.1.52、9.0.115、Apache Tomcat Native 2.0.12、1.3.5(後1件)である。
From: 
JVNVU#91658988 Apache Tomcatにおける複数の脆弱性(CVE-2025-66614、CVE-2026-24733、CVE-2026-24734)
【編集部解説】
Apache Tomcatは、Java製Webアプリケーションを動かすためのサーブレットコンテナ・Webサーバーとして、世界中の企業システムに深く組み込まれています。金融機関、ECサイト、行政システム、社内業務システムなど、信頼性が求められる領域で広く採用されており、今回の脆弱性が影響し得るシステムの範囲は非常に広いものと考えられます。
今回の3件はいずれも「認証や証明書の検証をすり抜けられる」という共通した性質を持っています。単に不正アクセスのリスクというだけでなく、「本人確認の仕組みそのものが機能しない」状態が生まれうる点が深刻です。
CVE-2025-66614の核心は、TLS接続時に使われる「SNI(Server Name Indication)」と、HTTPリクエストの「Hostヘッダー」が指し示すホスト名の一致をTomcatが確認していなかった点にあります。複数の仮想ホストを運用し、一方には証明書認証を要求・他方には不要、という設定はよくある構成ですが、攻撃者がSNIとHostヘッダーに意図的に異なるホスト名を送り込むことで、認証を回避できてしまいます。ただし、この問題はConnectorレベルで認証を強制している場合のみ該当し、Webアプリケーションレベルで制御している環境は影響を受けません。なお、Tenableの調査によれば、CVE-2025-66614のCVSS v3.0スコアは9.1(Critical)とされており、今回の3件の中で最も深刻度が高い脆弱性です。
CVE-2026-24734は、OCSP(オンライン証明書ステータスプロトコル)に関わる問題です。OCSPは証明書が現在も有効かどうかをリアルタイムで確認する仕組みですが、Tomcat NativeのJNI・FFM実装においてレスポンスの検証と「鮮度確認(freshness check)」が不完全でした。本来であれば失効済みとして拒否されるべき証明書が通過してしまう可能性があり、ゼロトラストセキュリティの観点から証明書ベース認証を強化している企業ほど、この欠陥の影響が皮肉な形で顕在化しかねません。
影響範囲の広さという観点でも注目が必要です。Apache Tomcat 9系はレガシーシステムでいまなお現役のケースが多く、バージョンアップに慎重なシステム管理者も少なくありません。さらに、すでにEOL(サポート終了)となっているバージョン8.5系(8.5.0〜8.5.100)もCVE-2025-66614の影響対象であることが確認されていますが、EOL済みの8.5系には修正パッチは提供されません。該当環境では、サポート対象バージョンへのアップグレードが唯一の対処法となります。
長期的な視点では、今回の脆弱性はTLSプロトコルの「SNIとHostヘッダーの整合性検証」という比較的基本的な処理が、長年にわたって見落とされていた事実を示しています。これはApache Tomcat固有の問題にとどまらず、他のWebサーバーやミドルウェアにも類似の問題が潜在している可能性を示唆するものでもあります。今後のセキュリティ研究の焦点のひとつになっていく可能性があります。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
脆弱性を一意に識別するための国際的な採番システム。米国のMITRE Corporationが管理しており、「CVE-西暦-連番」の形式で固有のIDが付与される。異なる組織や製品間で同一の脆弱性を正確に参照・共有できる仕組みだ。
TLS(Transport Layer Security)
インターネット通信を暗号化し、安全に行うためのプロトコル。HTTPS通信の基盤技術であり、データの盗聴・改ざんを防ぐ役割を担う。旧来の「SSL」の後継にあたる。
SNI(Server Name Indication)
TLSハンドシェイク時にクライアントが接続先のホスト名をサーバーへ通知する拡張機能。1台のサーバーで複数のドメインに対して異なるSSL証明書を使い分けるために用いられる。
OCSP(Online Certificate Status Protocol)
電子証明書が現在も有効かどうかをリアルタイムで確認するためのプロトコル。証明機関(CA)が運営するOCSPレスポンダに問い合わせることで、証明書の失効状態を即時検証する。
HTTP/0.9
1991年に策定されたHTTPの最初期バージョン。GETメソッドのみが定義されており、ヘッダーやステータスコードも存在しない。現在の実環境でほぼ使われないが、仕様上のグレーゾーンが今回の脆弱性の原因となった。
Connector(コネクター)
Apache Tomcatにおいて、ネットワーク接続(HTTP/HTTPSなど)を受け付ける窓口となるコンポーネント。Connectorレベルで認証を強制する設定と、Webアプリケーションレベルで強制する設定では、CVE-2025-66614への影響有無が異なる。
JNI(Java Native Interface)
Javaプログラムからネイティブコード(CやC++など)を呼び出すための仕組み。Tomcat NativeはJNIを通じてOpenSSLなどのネイティブライブラリと連携し、TLS処理のパフォーマンスを向上させる。
FFM(Foreign Function & Memory API)
Java 22以降で正式導入されたJavaの新しいAPI群であり、JNIに代わる次世代のネイティブコード連携手段。TomcatはTomcat NativeのFFMポートとしてこの仕組みを採用しており、CVE-2026-24734の影響範囲に含まれる。
ゼロトラストセキュリティ
「社内ネットワークだから安全」という前提を排し、すべての通信・アクセスを常に検証・認証するセキュリティ思想。証明書ベースの認証はゼロトラスト実装の柱のひとつだが、今回のOCSP検証不備はその信頼基盤を揺るがすものである。
EOL(End of Life)
ソフトウェアの公式サポートが終了した状態。セキュリティパッチの提供が停止されるため、EOL製品を本番環境で継続使用することはリスクが高い。今回のCVE-2025-66614では、EOL済みの8.5系(8.5.0〜8.5.100)が影響対象と確認されており、修正パッチは提供されない。
【参考リンク】
The Apache Software Foundation(外部)
Apache HTTP ServerやTomcatなど200以上のオープンソースプロジェクトを管理・支援する非営利団体の公式サイト。
Apache Tomcat 公式サイト(外部)
Apache Tomcatの公式ページ。修正済みバージョンのダウンロードやセキュリティ情報・リリースノートを確認できる。
JVN(Japan Vulnerability Notes)(外部)
IPAとJPCERT/CCが共同運営する国内の脆弱性情報データベース。日本語でJVNVU#91658988を含む脆弱性情報を提供している。
【参考記事】
CVE-2025-66614 | Tenable®(外部)
CVE-2025-66614のCVSSスコア9.1(Critical)を掲載。EOL済みApache Tomcat 8.5系も影響対象と確認できる専門サイト。
CVE-2025-66614 – Apache Tomcat: Client certificate authentication bypass(外部)
SNIとHTTP Hostヘッダーの検証欠如によるクライアント証明書認証バイパスの仕組みと影響バージョンを詳解する脆弱性情報サイト。
CVE-2025-66614: CWE-20 Improper Input Validation in Apache Tomcat(外部)
CVE-2025-66614をCWE-20(不適切な入力検証)として分析。攻撃シナリオや影響を受ける設定条件の詳細を掘り下げている。
CVE-2026-24734 Security Vulnerability Analysis & Exploit Details(外部)
CVE-2026-24734を詳解。EOL済みApache Tomcat Native 1.1系・1.2系も影響対象と明記する脆弱性分析サイト。
Apache Tomcat Security Restriction Bypass Vulnerability – HKCERT(外部)
HKCERTによるセキュリティ速報。今回3件の影響バージョンと対処方法をまとめ、リモート攻撃者の悪用可能性を警告している。
Apache Tomcatの脆弱性(Moderate: CVE-2026-24734, Low: CVE-2026-24733) – SIOS Tech.Lab(外部)
CVE-2026-24733のHTTP/0.9問題とCVE-2026-24734のOCSP検証欠陥を日本語で詳述する国内ベンダーの技術解説記事。
【編集部後記】
みなさんが日々使っているWebサービスの裏側に、Apache Tomcatが静かに動いているケースは決して少なくありません。今回の脆弱性を読んで、ご自身の環境を少し見直すきっかけになれば、それだけでうれしいです。
セキュリティは「難しい専門家の話」ではなく、私たちが使うサービスへの信頼そのもの。私たちも答えを持っているわけではありませんが、一緒に考え続けたいと思っています。
