ウェブサーバーソフトウェアNGINXのHTTP/3モジュールに、深刻なUse-after-free脆弱性(CVE-2026-42530)が発見されました。この脆弱性はCVSS v4スコア9.2と評価されており、たとえアドレス空間配置のランダム化(ASLR)が有効な環境であっても、その深刻度は変わらないと専門家は警鐘を鳴らしています。F5は緊急の帯域外パッチをリリースしており、対象となるシステム管理者には迅速な対応が求められています。
NGINXに発見された二つの重大な脆弱性
最近、NGINXに関連する二つの重要な脆弱性が公表されました。これらは、ウェブサーバーの安定性とセキュリティに大きな影響を及ぼす可能性があります。
HTTP/3モジュールのUse-after-free (CVE-2026-42530)
この脆弱性は、NGINXのngx_http_v3_moduleに存在するUse-after-freeバグです。攻撃者が巧妙に細工したHTTP/3セッションを送信することで、NGINXのワーカープロセスが解放済みのメモリにアクセスし、クラッシュを引き起こします。NGINXは自動的にプロセスを再起動しますが、この繰り返しによってサービス停止(DoS)に至る可能性があります。ASLRが無効な環境や、攻撃者がASLRをバイパスする手段を持っていた場合、このメモリ破損がコード実行に繋がりかねません。影響を受けるのはNGINX Open Sourceのバージョン1.31.0および1.31.1です。
プロキシモジュールのヒープオーバーフロー (CVE-2026-42055)
もう一つの脆弱性であるCVE-2026-42055は、ngx_http_proxy_v2_moduleおよびngx_http_grpc_moduleにおけるヒープオーバーフローです。この脆弱性は、NGINXバージョン1.13.10から1.31.1の広範囲に影響を及ぼしますが、悪用には特定の三つの設定条件が同時に満たされている必要があります。特にgRPCプロキシを展開している環境では、これらの条件が揃いやすく、APIゲートウェイなどで機密データを扱うシステムにとって無視できないリスクとなります。
ASLRが「万能薬ではない」理由
一部のセキュリティ専門家は、ASLRが有効なシステムではこれらの脆弱性の悪用が困難であるため、深刻度は低いと見なす傾向があります。しかし、この見解は誤りであると指摘されています。
ASLRバイパス技術の現実
ASLRはメモリ配置をランダム化することで、攻撃者がコード実行のために必要なメモリアドレスを特定するのを困難にする緩和策です。しかし、ヒープスプレー、サイドチャネルからの情報漏洩、部分的な上書きといったASLRバイパス技術は確立されており、日々新しい手法が研究者によって公開されています。ネットワークアクセスを持つ攻撃者にとって、ASLRは攻撃を遅らせる要因にはなっても、完全に阻止するものではありません。
DoS攻撃としての深刻性
たとえコード実行に至らなくとも、CVE-2026-42530が引き起こすワーカープロセスの繰り返しクラッシュは、高トラフィックなウェブサーバーやAPIゲートウェイに対する持続的なサービス拒否(DoS)攻撃に繋がり、ビジネスに甚大な損害を与える可能性があります。CVSSスコア9.2という評価は、コード実行に加えてこのような可用性への影響も考慮した結果であり、その深刻度は過小評価すべきではありません。
迅速な悪用リスクとベンダーの緊急対応
過去のNGINX脆弱性は、公開後わずか数日で悪用される事例が確認されています。例えば、昨年公開されたCVE-2026-42945は、アドバイザリ公開から数日以内に実世界での悪用が確認されました。
今回のCVE-2026-42530についても、F5が通常のメンテナンスサイクルを待たずに帯域外パッチをリリースしたことは、ベンダー自身がこの脆弱性を極めて深刻であると判断している明確な兆候です。攻撃者が悪用コードを開発するまでの期間は数週間ではなく、数日と見積もるべきです。
影響を受けるバージョンとユーザー層
CVE-2026-42530の影響バージョンはNGINX Open Source 1.31.0および1.31.1と狭い範囲ですが、これらのバージョンはHTTP/3サポートを目的に導入された比較的新しいメインラインリリースです。これらのバージョンを利用しているユーザーは、技術的に高度なインフラを運用しており、多くの場合、インターネットに直接公開されている高トラフィックなシステムで利用されている傾向があります。そのため、攻撃者にとって魅力的なターゲットとなりやすいと言えます。
一方、CVE-2026-42055はNGINX 1.13.10から1.31.1と幅広いバージョンに影響しますが、特定の構成条件が必要です。しかし、BleepingComputerの指摘によると、この条件はgRPCプロキシの展開で一般的に見られるものです。APIゲートウェイとしてgRPCトラフィックを処理するインフラは、認証、内部サービスルーティング、機密データ処理を担うことが多く、ヒープオーバーフローの悪用は深刻な結果を招く可能性があります。
【管理人の視点】日本のユーザーが取るべき対策
NGINXは、日本国内でも多くのウェブサイトやAPIサービスで利用されている主要なウェブサーバーソフトウェアです。今回の脆弱性は、特にHTTP/3を有効にしている比較的新しい環境や、gRPCプロキシとして利用している環境に影響を及ぼすため、日本の企業や開発者も決して他人事ではありません。
ASLRが有効だからと安心せず、CVSSスコア9.2という評価を真摯に受け止めるべきです。最も確実な対策は、F5が提供する緊急パッチを速やかに適用することです。
- NGINX Open Sourceユーザーは、メインラインブランチの場合は1.31.2へ、安定版ブランチの場合は1.30.3へアップグレードしてください。
- NGINX Plusユーザーは37.0.2.1へ、Gateway Fabricユーザーは2.6.4へアップグレードが必要です。
パッチ適用がすぐにできない場合でも、一時的な緩和策として、CVE-2026-42530に対してはHTTP/3機能を無効化し、CVE-2026-42055に対しては関連するプロキシ構成を見直すことを強く推奨します。インターネットに直接公開されているNGINXインスタンスは、攻撃の標的となりやすいため、特に優先して対応を進める必要があります。
まとめ
NGINXのHTTP/3モジュールとプロキシモジュールに発見された二つの重大な脆弱性は、ASLRの有無にかかわらず、ウェブインフラに深刻なリスクをもたらします。CVSSスコアが示す通り、これらの脆弱性はコード実行やサービス拒否に繋がる可能性があり、攻撃者による迅速な悪用が懸念されます。F5が緊急パッチを公開したことを受け、システム管理者は自社のNGINX環境を速やかに確認し、推奨されるバージョンへのアップグレードまたは適切な緩和策の実施を最優先で進めるべきです。セキュリティ対策は常に最新の状態を保ち、潜在的な脅威に対して迅速に対応する体制を整えることが不可欠です。
