セキュリティ

SECURITY

公開：2025-02-26

【CVE-2025-24896】Misskeyにログアウト後もトークンが残る脆弱性、パブリックPCでの利用にリスク

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Misskeyにログアウト後もトークンが残る脆弱性
• バージョン12.109.0から2025.2.0-alpha.0未満が対象
• パブリックPCや共有PCでの利用時にリスク

MisskeyのBull Dashboardでログアウト後もトークンが残存する脆弱性

オープンソースの分散型SNSプラットフォームMisskeyにおいて、Bull Dashboardの認証に使用されるトークンがログアウト後も削除されない脆弱性が発見され、2025年2月11日に公開された。この脆弱性は【CVE-2025-24896】として識別されており、バージョン12.109.0から2025.2.0-alpha.0未満のバージョンが影響を受けることが判明している。^[1]

脆弱性の影響を受ける可能性が高いのは、パブリックPCや他人のデバイスでMisskeyにログインしたユーザーとなっている。また、PCを他人に貸す前にMisskeyからログアウトしたユーザーも同様にリスクにさらされる可能性があることが指摘されている。

この脆弱性に対する深刻度は、共通脆弱性評価システムCVSS v3.1で8.1（High）と評価されている。攻撃元区分はネットワークであり、攻撃条件の複雑さは低く、特権は不要だが、ユーザーの関与が必要とされることから、早急な対応が推奨される。

Misskeyの認証トークン脆弱性の概要

セッション有効期限について

セッション有効期限とは、ユーザーの認証状態を管理するための重要なセキュリティメカニズムのことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーのログイン状態を一定時間で自動的に終了させる機能
• 不正アクセスやセッションハイジャックのリスクを軽減する役割
• ログアウト時に認証情報を確実に削除する仕組み

Misskeyの事例では、Bull Dashboardの認証に使用されるトークンがcookieに保存されるものの、ログアウト時に適切に削除されない問題が発生している。この問題により、パブリックPCや共有デバイスを使用する環境では、前のユーザーの認証情報が残存してしまい、セキュリティリスクとなる可能性がある。

Misskeyの認証トークン脆弱性に関する考察

Misskeyの認証トークン管理における脆弱性は、分散型SNSプラットフォームの認証システムの重要性を改めて浮き彫りにする結果となった。特にパブリックスペースでの利用が想定されるソーシャルプラットフォームにおいて、ログアウト後のセッション管理の徹底は、ユーザーのプライバシーとセキュリティを守る上で極めて重要な要素となっている。

今後の課題として、認証トークンの有効期限管理の自動化やセッションの強制終了機能の実装が考えられる。特にパブリックPCや共有デバイスでの利用を想定した場合、ブラウザの終了時に自動的にセッションを無効化する仕組みや、定期的なトークンの更新機能の導入が有効な解決策となるだろう。

分散型SNSの普及に伴い、認証システムの堅牢性はますます重要になってくると予想される。今後はユーザビリティを損なうことなく、より強固なセキュリティを実現する認証の仕組みの開発が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-24896, (参照 25-02-26).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧