Wireshark の脆弱性 40件以上が FIX:プロトコル・モジュールにおける欠陥を AI が解析

Critical Wireshark Vulnerabilities Let Attackers Execute Arbitrary Code Via Malformed Packets

2026/04/30 CyberSecurityNews — Wireshark が公開したのは、40 件以上の脆弱性に対処する大規模なセキュリティ・アップデートである。それらの脆弱性を悪用する攻撃者は、細工されたパケット注入や悪意のキャプチャ・ファイルにより、任意のコード実行を可能にする。世界で最も広く使用されるオープンソースのネットワーク・プロトコル・アナライザー Wireshark を用いて、ネットワーク監視/フォレンジック/トラフィック分析を実践している組織/個人は、Wireshark 4.6.5 へと速やかにアップデートする必要がある

深刻なコード実行欠陥

今回のリリースにおける最も深刻な脆弱性は、単なる DoS (denial-of-service) を超え、リモートコード実行 (RCE) を引き起こす可能性を持つ。4 つのディセクタおよびパーサが影響を受ける:

  • TLS ディセクタ (CVE-2026-5402):細工された TLS トラフィック解析時における、クラッシュおよびコード実行の可能性 (wnpa-sec-2026-14)
  • SBC コーデック (CVE-2026-5403):SBC 音声コーデック処理における、クラッシュおよびコード実行の可能性 (wnpa-sec-2026-16)
  • RDP ディセクタ (CVE-2026-5405):Remote Desktop Protocol パケット解析時における、クラッシュおよびコード実行の可能性 (wnpa-sec-2026-17)
  • プロファイル・インポート (CVE-2026-5656):プロファイル・インポート処理中における、クラッシュおよびコード実行の可能性 (wnpa-sec-2026-21)

エンタープライズ/SOC 環境における Wireshark は、高権限で実行されることが多いため、これらの脆弱性は危険である。悪用に成功した攻撃者は、システム権限に対して大きな影響を及ぼす可能性がある。

ディセクタ・クラッシュによる denial-of-service

特定プロトコルのディセクタが、細工されたパケットを処理する際にアプリケーションをクラッシュさせる、数多くの脆弱性が修正された:

  • Monero (CVE-2026-5409)/BT-DHT (CVE-2026-5408)/FC-SWILS (CVE-2026-5406)/ICMPv6 (CVE-2026-5299)
  • AFP (CVE-2026-5401)/K12 RF5 ファイルパーサ (CVE-2026-5404)/AMR-NB コーデック (CVE-2026-5654)
  • SDP (CVE-2026-5655)/iLBC コーデック (CVE-2026-5657/CVE-2026-6529)/DCP-ETSI (CVE-2026-5653/CVE-2026-6530)
  • BEEP (CVE-2026-6538)/ZigBee (CVE-2026-6537)/Kismet (CVE-2026-6532)
  • ASN.1 PER (CVE-2026-6527)/RTSP (CVE-2026-6526)/IEEE 802.11 (CVE-2026-6525)
  • MySQL (CVE-2026-6524)/GSM RP (CVE-2026-6870)/WebSocket (CVE-2026-6869)/HTTP (CVE-2026-6868)

同一ネットワーク・セグメント上の未認証の攻撃者は、特別に細工されたパケットを送信することで、これらのクラッシュを誘発できる。

無限ループおよびリソース枯渇

無限ループを引き起こす複数の脆弱性により、Wireshark はシステム・リソースを消費し続け、DoS (denial-of-service) 状態を引き起こす:

  • SMB2 ディセクタ (CVE-2026-5407):細工された SMB2 トラフィックによる、無限ループ (wnpa-sec-2026-11)
  • DLMS/COSEM (CVE-2026-6536)/USB HID (CVE-2026-6534)/SANE (CVE-2026-6531)
  • GNW (CVE-2026-6523)/OpenFlow v5 (CVE-2026-6521)/OpenFlow v6 (CVE-2026-6520)
  • MBIM (CVE-2026-6519)/RPKI-Router (CVE-2026-6522)/TLS ディセクタ (CVE-2026-6528)

これらのループ型の脆弱性は、Wireshark が無人で動作する自動トラフィック・キャプチャ・パイプラインにおいて大きな問題を引き起こす。単一の細工されたパケットにより、解析が停止する可能性がある。

展開エンジンの脆弱性

2 件の Low レベルの脆弱性は、個別のプロトコル・パーサではなく、Wireshark のコア解析エンジンに存在する:

  • zlib 展開クラッシュ (CVE-2026-6535):細工された圧縮ペイロードにより、展開処理が破壊される (wnpa-sec-2026-26)
  • LZ77 展開クラッシュ (CVE-2026-6533):LZ77 圧縮データ処理中にクラッシュを引き起こす (wnpa-sec-2026-28)

これらのエンジン・レベルの欠陥は、圧縮ペイロードを使用するすべてのプロトコルに影響し、攻撃面を大幅に拡大する恐れがある。

影響バージョンおよび対策
ComponentVulnerability TypeCVE Examples
TLS, RDP, SBC, Profile ImportCrash + Possible Code ExecutionCVE-2026-5402, 5403, 5405, 5656
SMB2, TLS, MBIM, OpenFlowInfinite Loop / DoSCVE-2026-5407, 6528, 6519, 6521
Multiple Dissectors (20+)Dissector Crash / DoSCVE-2026-5299 through CVE-2026-6870
Dissection Enginezlib/LZ77 Decompression CrashCVE-2026-6535, CVE-2026-6533

AI 支援による脆弱性の報告により、多数のプロトコル・モジュールにおける脆弱性の発見が加速されたと、Wireshark チームは述べている。

ユーザーに対して強く推奨されるのは、公式 Wireshark ページから最新の修正済みリリース 4.6.5 をダウンロードし、速やかにアップデートすることだ。

ライブキャプチャや SIEM 連携モードで Wireshark を運用する組織は、TLS/RDP/SBC コンポーネントにおけるコード実行のリスクを考慮し、最優先でアップデートする必要がある。

訳者後書:Wireshark に存在する、40 件を超える深刻な脆弱性が FIX しました。一連の問題の原因は、ネットワークを流れる複雑な通信データを解析するディセクタやパーサに、不適切なデータ処理が存在していたことにあります。具体的には、 TLS や RDP といった主要なプロトコルを解析する際に、細工された不正なパケットを受け取ると、メモリの状態が不安定になり、攻撃者のコードが実行されてしまう恐れがあります。脆弱性検出における最近のトレンドに従い、今回も AI が活躍したようです。よろしければ、2026/04/22 の「Claude Mythos が証明した脆弱性発見能力:Firefox の 271件のゼロデイを単一の評価で検出」も、ご参照ください。