18年間バレなかった脆弱性 — NGINXに認証不要のサーバー乗っ取りリスク

本当だよ！2026年5月に発覚したCVE-2026-42945っていう脆弱性で、深刻度スコアが9.2（最大10）というかなり深刻な問題なんだ。しかも2008年から潜んでいた、18年間誰にも気づかれなかった脆弱性だよ。

NGINXは「エンジンエックス」って読む、世界中のWebサイトを動かしているWebサーバーのことだよ。大手サービスも広く使っていて、世界のWebサーバーシェアの約3割を占めているんだ。

NGINXには「rewriteモジュール」というURLを書き換える機能があるんだけど、その処理フローの中に「ヒープバッファオーバーフロー」というバグが2008年から隠れていたんだ。特殊な条件のリクエストだけで発生するから、普通のテストでは見つかりにくかったんだよ。

コンピューターはデータを「ヒープ」という領域に保存するんだけど、そこからはみ出してデータを書き込んでしまうバグのことだよ。攻撃者がこれをうまく利用すると、本来実行できないはずのコードを動かせるようになるんだ。

そうなんだ。認証なしでリモートからコードを実行できる「RCE」という深刻な問題だよ。NGINXを使っているなら、NGINX PlusはR32以降、NGINX OpenはバージョンR1.27.5以降にすぐアップデートするのが一番の対策だよ。

「オープンソースは多くの目があるから安全」とよく言われるんだけど、コードの量が膨大で全部を精査するのは難しいんだ。今回みたいに「特定の複雑な処理の中にだけ現れる」バグは、自動テストや普通のコードレビューでは見抜けないことが多いんだよ。

そうだよ。だから「CVE」という番号で管理される公式の脆弱性データベースが重要なんだ。使っているソフトウェアのCVE情報を定期的にチェックして、アップデートを怠らないことが現代のセキュリティ管理の基本だよ。今回のように修正版が素早くリリースされた場合は、すぐに適用するのが正解なんだ。