NGINX の深刻な RCE 脆弱性 CVE-2026-42945:公開直後から実環境での悪用を確認

Hackers Actively Exploiting Critical NGINX RCE Vulnerability in the Wild

2026/05/18 CyberSecurityNews — 新たに公開された NGINX の深刻な脆弱性 CVE-2026-42945 (CVSS:8.1) に対して、すでにハッカーたちは悪用に即座に着手しており、公開から数日で実環境における攻撃を開始している。VulnCheck のセキュリティ研究者 Patrick Garrity は、脅威アクターが CVE-2026-42945 を積極的に標的としていることを明らかにした。この脆弱性はヒープバッファ・オーバーフローの欠陥であり、NGINX Open Source/NGINX Plus に影響するものである。

VulnCheck の Initial Access チームによると、この脆弱性を悪用する未認証の攻撃者が、細工された HTTP リクエストを送信することで、NGINX worker プロセスをクラッシュさせることが可能となる。

このような具体的な危険性が伴うため、脆弱性 CVE-2026-42945 は公開直後から悪用段階へ急速に移行している。このインシデントが浮き彫りにするのは、新たに公開された脆弱性を、攻撃者たちが迅速に武器化する状況である。

ハッカーによる NGINX の RCE 悪用

これだけでも、サービス拒否 (DoS) 状態が引き起こされる可能性があるが、特定のコンフィグ条件下ではリスクはさらに深刻化する。ハッカーによる、NGINX へのリモート・コード実行 (RCE) の懸念はここにある。

Address Space Layout Randomization (ASLR) が無効化されている場合に、攻撃者はリモート・コード実行 (RCE) を達成できる可能性がある。ただし、多くのシステムで ASLR がデフォルトで有効化されているため、現代の導入環境において、このようなシナリオは発生しにくいと研究者は指摘している。

NGINX Flaw (Source: Linkedin)
NGINX Flaw (Source: VulnCheck)

もう一つの重要な制約として、この脆弱性の悪用の前提として、特定の NGINX rewrite コンフィグが必要である。すべての公開されている NGINX サーバが脆弱ではないため、攻撃対象領域は限定されるが、潜在的な影響規模は依然として大きい。

LinkedIn の投稿において、VulnCheck の研究者 Patrick Garrity が指摘するのは、Censys のデータにより約 570 万台のインターネット公開 NGINX サーバが脆弱バージョンを実行している可能性である。もっとも、これらすべてのシステムが悪用条件を満たすわけではないが、その膨大な数が示すのは、パッチ適用と緩和策の緊急性である。

また、実環境での悪用が急速に増加していることが示唆するのは、攻撃者がミスコンフィグやパッチ未適用サーバを積極的にスキャンしている状況である。こうした初期段階の悪用活動は、組織が対応する前に標的環境への初期アクセスを狙う、機会主義的な脅威アクターと関連することが多い。

NGINX は、Web サーバ/リバースプロキシ/ロードバランサーとして、エンタープライズ環境/クラウド・インフラ/重要アプリケーションで広く使用されているため、この脆弱性は懸念材料となっている。万が一、侵害が成功すると、攻撃者はサービス停止を引き起こすだけではなく、バックエンド・システムへの侵入や深層へのアクセス権の獲得を達成する可能性がある。

セキュリティ専門家がユーザー組織に対して強く推奨するのは、NGINX コンフィグを見直し、パッチやアップデートが利用可能になり次第、直ちに適用することである。さらに管理者は、ASLR などのセキュリティ保護機構が有効であることを確認し、システムの脆弱性 CVE-2026-42945 が危険にさらされる可能性のある、リライト・ルールを監査すべきである。

このインシデントは、脆弱性公開から実際の悪用までの期間が急速に短縮しているという、サイバー・セキュリティ分野における傾向を改めて浮き彫りにしている。

パッチ適用を数日間遅らせただけでも、リスクへさらされる可能性が高まる。脅威アクターによるスキャンと悪用の自動化が進む中、プロアクティブな脆弱性管理は、新たなサイバー脅威に対する最も効果的な防御策の一つであり続けている。

訳者後書:今回の NGINX の脆弱性 CVE-2026-42945 は、ヒープバッファ・オーバーフローというプログラムの不具合が原因となっています。未認証の攻撃者が不正な HTTP リクエストを送信すると、サーバの処理プロセスが強制終了させられてしまうため、サービス拒否 (DoS) 状態に陥ってしまいます。さらに、サーバ設定でリライト・ルールが有効化されている場合や、OS のセキュリティ機構である ASLR が無効化されている場合には、リモートからの任意のコード実行が引き起こされる危険性もあります。ご利用のチームは、ご注意ください。よろしければ、Nginx での検索結果も、ご参照ください。