世界中のウェブサイトの30%以上を支えるウェブサーバーソフトウェアNGINXの致命的なセキュリティ脆弱性が、公開から1週間以内に実際に悪用されていることが確認されました。
CVE-2026-42945として追跡されている欠陥は「NGINX Rift」と呼ばれており、深刻度スコアは10点中9.8です。2008年から2026年5月までにリリースされたほぼすべての標準NGINXビルドに影響し、18年にわたるエクスポージャーウィンドウです。
NGINXの開発者であるF5は、2026年5月13日(脆弱性が公開された同日)に緊急パッチを発行しました。セキュリティリサーチグループDepthFirstもその日に動作する概念実証エクスプロイトを公開し、実際の悪用は数時間以内に確認されました。
脆弱性は何をするのか
欠陥はngx_http_rewrite_moduleという名前のコンポーネントにあり、URL書き換え(ほぼすべてのNGINXインストレーションで使用される標準機能)を処理します。バグは2026年4月に実施されたNGINXソースコードのAI駆動の自動分析を通じて発見されました。
実際には、この脆弱性により、攻撃者は単一の認証されていないウェブリクエストでターゲットサーバーをクラッシュさせることができます。パスワード、ログイン、事前アクセスは不要です。特定の状況では、攻撃者が影響を受けたシステムを遠隔から完全に制御できる可能性があります。
Pentest-Tools.comのセキュリティマネージャーであるDaniel Beneheaは、「NGINXは書き換えルールを2つのパスで処理します。最初のパスはメモリ割り当て量を計算し、2番目のパスが実際の書き込みを行います。特定の条件下では、2番目のパスが最初に予約されたスペースより多くのデータを書き込みます。典型的な最新サーバーでは、これはクラッシュと再起動ループを引き起こし、実質的にはサービス拒否です。特定のセキュリティ機能が無効になっているシステムでは、攻撃者にサーバーの制御を与える可能性があります。」と述べました。
NGINXはエンタープライズアプリケーション、APIゲートウェイ、コンテンツ配信ネットワーク、クラウドサービスのウェブトラフィックを処理するなど、多くのインターネット向けシステムの周辺に位置しているため、このレイヤーの脆弱性は1つの組織だけでなく、その背後のすべてのシステムに影響を与える可能性があります。
パッチ適用はそれほど簡単ではありません
F5は製品範囲全体でフィックスをリリースしました。影響を受けた組織は、NGINX Open Source 1.30.1(安定版ブランチ)または1.31.0(メインライン)、またはNGINX Plus R36 P1にアップグレードする必要があります。古いバージョンへのバックポートパッチは予定されていません。
しかし、セキュリティチームは、プライマリNGINXインストレーションをアップグレードするだけでは不十分な場合があると警告されています。最新のクラウドインフラストラクチャ全体で一般的なコンテナ化されたアプリケーションを実行している組織は、コンテナイメージに焼き込まれたNGINXのコピーを持つ可能性があり、自動的に更新されません。NGINXを頻繁に埋め込むKubernetesイングレスコントローラーは、別途の注意が必要です。
Beneheaはさらに、「まずアップグレードしてください。次に、コンテナイメージとKubernetesイングレスコントローラーを別々にチェックしてください。メインのNGINXインストレーションをアップグレードしても、それらは自動的に更新されません。ほとんどのチームにとって、アップグレードするだけがより簡単で安全な方法です。」と付け加えました。
すぐにパッチを適用できない組織の場合、F5は設定レベルの回避策を文書化していますが、セキュリティチームは、すべての設定ファイル全体のすべての書き換えルールを手動で監査する必要があり、これは大規模または継承されたデプロイメントにとって重大な課題であると指摘しています。
無料スキャナーがリリースされました
サイバーセキュリティ企業Pentest-Tools.comは、CVE-2026-42945の検出をそのネットワーク脆弱性スキャナーに追加し、アカウント不要で無料で利用できるようにしました。スキャナーは特定のシステムで実行されているNGINXのバージョンをチェックし、脆弱な範囲内のインスタンスにフラグを立てます。
このツールはこちらで利用できます:https://pentest-tools.com/network-vulnerability-scanning/cve-2026-42945-scanner-nginx-rift。検出は未確認とラベル付けされており、バージョンベースの検出と一致します。つまり、フラグが立てられた結果は、脆弱なバージョンが存在することを示しますが、そのシステムの設定で特定のトリガー条件がアクティブであるかどうかは確認しません。
脆弱性研究の将来についての信号
NGINX Riftの発見は注目すべき脚注を持っています。欠陥は人間の研究者ではなく、NGINXソースコードの自動化されたAI駆動の分析によって発見されました。DepthFirstは2026年4月に分析を実行し、F5がパッチを発行した日に技術的な論文を公開する前に、責任を持って発見内容を開示しました。
「すべてのNGINXビルドにデフォルトで搭載されているモジュールに隠れている18年前の欠陥は、自動分析なしには見つけにくい露出のまさにその種です。それは脆弱性研究がどこへ向かっているかについて意味のあることを言っています。何年も本番環境で実行されていたが、詳細な検査を受けていなかったコードベースの体系的なカバレッジ。」とBeneheaは結論付けています。
この発見は、広く導入されているオープンソースソフトウェアに同様の長年の欠陥がいくつ存在しているかもしれないか、そして自動化されたツーリングがそれらが表面化する手段になるかどうかについて疑問を提起します。
組織が今何をすべきか。
- すぐにパッチを適用してください。 NGINX Open Source 1.30.1 / 1.31.0またはNGINX Plus R36 P1にアップグレードしてください。
- コンテナイメージを監査してください。 プライマリインストレーションとは別にコンテナイメージに埋め込まれたNGINXバイナリをチェックしてください。
- Kubernetesイングレスコントローラーをチェックしてください。 これらは頻繁にNGINXを埋め込み、独立したパッチが必要です。
- 無料スキャナーを使用してください。 Pentest-Tools.comのログインなしスキャナーは、外部の攻撃面に露出したバージョンが存在するかどうかを確認できます。
