エンジニアリング
2026年3月13日
n8nセキュリティ速報:Tunnelサービス廃止とCISAが警告するRCE脆弱性の現状
2026年3月のn8nセキュリティ関連ニュースを緊急解説。Tunnelサービスの廃止と、米国CISAがKEVカタログに追加したRCE脆弱性について対策方法をお伝えします。
#n8n
#DX
2026年3月、n8nのセキュリティに関して2つの重要な動きがありました。1つはローカル開発用の「Tunnelサービス」の廃止、もう1つは米国CISA(サイバーセキュリティ・社会基盤安全保障庁)が既存の脆弱性を「悪用が確認された脆弱性(KEV)カタログ」に追加したことです。
これらはn8nを安全に利用する上で極めて重要な情報です。本記事では、n8nが公式に発表した情報と、海外のセキュリティ専門メディアの報道を元に、何が起きているのか、そしてユーザーは何をすべきかを、私たちHumanoidの見解を交えて緊急解説します。
1. n8n Tunnelサービスの廃止(2026年3月2日)
n8nは、ローカル環境で稼働するn8nインスタンスに公開URLを与え、Webhook開発を容易にするための「Tunnelサービス」を廃止したことを発表しました [1]。
Humanoidの見解: このサービスは、特にn8n v1ユーザーにとって便利な機能でしたが、n8nが公式に述べている通り、運用上の問題とセキュリティ上の懸念から廃止は妥当な判断です。公開エンドポイントは、常に攻撃の入り口となるリスクを孕んでいます。ユーザーは、公式が推奨する代替手段へ速やかに移行すべきです。
推奨される代替手段
- Cloudflare Tunnel: 無料で利用でき、アカウント登録も不要なため最も手軽です。
- ngrok: 業界標準とも言えるツール。無料プランもあります。
- localtunnel: オープンソースの代替ツールです。
最重要ポイント: どのツールを使うにせよ、ローカルの開発用エンドポイントであっても、本番環境と同様のセキュリティ意識を持つ必要があります。具体的には、Webhookの署名検証を必ず実装し、安易なシークレットを使わず、必要な時間だけ公開する、といった対策が不可欠です。
2. CISAがRCE脆弱性「CVE-2025-68613」をKEVカタログに追加(2026年3月11日)
米国CISAは、2025年12月に公表されたn8nの深刻な脆弱性(CVE-2025-68613)が、実際に攻撃者に悪用されていることを確認し、KEVカタログに追加しました [2]。
この脆弱性は、認証済みの攻撃者が細工した式(Expression)をワークフローに注入することで、サーバー上で任意のコードを実行できてしまう(RCE)というものです。CVSSスコアは9.9(最大値10.0)と極めて高く、インスタンスの完全な乗っ取りに繋がる可能性があります。
Humanoidの見解: 「認証済み」と聞くと少し安心するかもしれませんが、権限の低いユーザーアカウントが一つでも侵害されれば、n8nサーバー全体が乗っ取られ、接続されているデータベースの認証情報などが全て窃取される危険性があることを意味します。CISAがKEVに追加したという事実は、この脆弱性を利用した攻撃が現実の脅威となっていることを示しており、極めて重く受け止めるべきです。まだ対策していないn8nインスタンスは、今すぐアップデートが必要です。
ユーザーが取るべき対策
- 即時アップデート: この脆弱性はn8n v1.122.0で修正されています。お使いのn8nのバージョンを確認し、これより古い場合は直ちにアップデートしてください。
- 認証・認可の見直し: n8nへのアクセス権を持つユーザーを最小限に絞り、不要なアカウントは削除してください。
- 継続的な監視: n8nインスタンスのログを監視し、不審なアクティビティがないか定期的に確認する体制を構築してください。
2026年に入ってからのn8n脆弱性タイムライン
n8nは、この数ヶ月で立て続けに深刻な脆弱性への対応を迫られています。
| 時期 | CVE | CVSS | 概要 |
|---|---|---|---|
| 2025年12月 | CVE-2025-68613 | 9.9 | 式評価エンジンのRCE(認証済み)→ 今回CISAがKEV追加 |
| 2026年1月 | CVE-2026-21858 | 10.0 | Webhook処理の不備によるRCE(認証不要) |
| 2026年2月 | CVE-2026-25049 | 9.4 | 式評価エンジンの追加エクスプロイト(認証済み) |
表1: 最近のn8nの主要な脆弱性
まとめ:利便性とセキュリティはトレードオフ
n8nは非常に強力で便利なツールですが、その強力さゆえに、一度侵害された場合の影響は甚大です。特に、セルフホストで運用しているユーザーは、自らセキュリティ情報を収集し、迅速に対応する責任があります。
今回のTunnelサービス廃止とCISAの警告は、開発の利便性とセキュリティが常にトレードオフの関係にあることを改めて示しています。Humanoidはn8n公認パートナーとして、お客様がn8nを安全かつ効果的に活用できるよう、セキュリティ設定の監査や、セキュアなワークフロー設計のコンサルティングも提供しています。運用に不安のある方は、お気軽にご相談ください。
参考文献
[1] n8n. "n8n Tunnel Service Discontinued". n8n Blog. 2026-03-02. https://blog.n8n.io/n8n-tunnel-service-discontinued/, (参照 2026-03-13).
[2] The Register. "CISA says n8n critical bug exploited in real-world attacks". 2026-03-12. https://www.theregister.com/2026/03/12/cisa_n8n_rce/, (参照 2026-03-13).
