エレコム製ルータに重大な脆弱性、18年間潜伏したNGINX欠陥も【先週の重大セキュリティまとめ】

2026年5月第3週は、Webサーバー「NGINX」で18年間潜伏していた重大脆弱性が発覚したほか、Microsoftが複数の深刻な脆弱性を修正する月例更新を公開した。エレコム製無線LANルータでも任意コード実行など複数の問題が確認され、迅速なアップデートが求められている。また、PayPayを悪用した住民税納付詐欺メールも確認された。CISAはCisco SD-WANおよびExchange Serverの既知悪用脆弱性をKEVカタログへ追加しており、継続的な更新管理と迅速な対策が重要となっている。

連載のこれまでの回はこちらを参照。

• 

  先週の重大セキュリティニュースはエレコム製ルータやNGINX脆弱性など　Photo：PIXTA

5/11～5/17 最新サイバーセキュリティ情報

2026年5月第3週も、国内外で多数のサイバーセキュリティ関連情報が公表された。ネットワーク機器やWebサーバ、Microsoft製品など広範囲なシステムに影響する脆弱性が相次いで明らかとなり、迅速なアップデート対応の重要性があらためて浮き彫りになった。

本稿では、エレコム製ルータの脆弱性、NGINXの重大欠陥、Microsoftの月例更新、PayPayを悪用したフィッシング詐欺、CISAが警告する悪用が確認済みの脆弱性を取り上げる。

エレコムの無線LANルータに複数の脆弱性、アップデートを

エレコムは2026年5月12日、同社製の無線LANルータなど一部ネットワーク製品に複数の脆弱性が判明したとして、対象製品の利用者に対し、ファームウェアアップデートなどの対策を速やかに実施するよう呼びかけた(参考「無線LANルータなど一部のネットワーク製品のセキュリティ向上のためのファームウェアアップデート実施のお願い | エレコム株式会社 ELECOM」「JVN#03037325: エレコム製無線LANルータおよび無線アクセスポイントにおける複数の脆弱性（2026年5月）」)。

対象製品では、設定ファイルの暗号化不備に起因する任意コード実行の可能性(CVE-2026-25107)のほか、設定画面へアクセス可能な攻撃者によって任意コマンドが実行される恐れ(CVE-2026-35506)などが確認された。

また、認証なしで機器を操作される可能性(CVE-2026-40621)や、認証不要で任意コマンドを実行される可能性(CVE-2026-42062)も報告されている。

このほか、クロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-42948)、設定画面の操作不能につながる問題(CVE-2026-42950)、クロスサイトリクエストフォージェリ(CSRF)の脆弱性(CVE-2026-42961)も明らかになった。

エレコムによると、製品型番によって対処方法が異なるため、利用者は対象機種かどうかを確認したうえで対応する必要がある。対策済みファームウェアへ更新することで問題を回避できるとしている。

工場出荷時設定では自動更新が有効になっているが、自動更新を無効化している場合などは、利用者自身で最新版へ更新する必要がある。

ルータなどのネットワーク機器は、一度設置すると長期間アップデートされないまま運用されるケースも少なくない。ルータはサイバー攻撃の標的になりやすく、古いファームウェアのまま利用を続けることはリスクとなるため、組織や利用者には定期的な更新とサポート状況の確認が求められる。

NGINXに最大CVSS 9.2の脆弱性、18年間潜伏していた欠陥が発覚

DepthFirstは2026年5月13日、Webサーバ「NGINX」にリモートコード実行(RCE)につながる重大な脆弱性が存在すると公表した。対象となる「CVE-2026-42945」のCVSSスコアは9.2で、2008年以降のバージョン0.6.27から1.30.0まで影響を受けるというる(参考「NGINX Rift: Achieving NGINX Remote Code Execution via an 18-Year-Old Vulnerability | depthfirst」)。

NGINXは世界中のWebサイトで広く利用されるWebサーバであり、インターネット基盤への影響が懸念される。

DepthFirstによると、この脆弱性はrewriteディレクティブ処理に起因するヒープバッファオーバーフローで、特定のリクエストによってメモリー破壊を引き起こし、最終的に任意コード実行につながる可能性がある。

同社は、社内の自動解析システムを用いた調査で複数の問題を発見したとしており、このうち4件がNGINX側で確認された。とくにCVE-2026-42945については、概念実証コード(PoC)も公開している。

確認された脆弱性は次のとおり。

• CVE-2026-42945：rewrite処理におけるヒープバッファオーバーフロー。遠隔コード実行につながる恐れ
• CVE-2026-42946：SCGIおよびuWSGIモジュールでの過剰メモリ割り当て。不正な状態遷移により約1TB規模のメモリ確保が発生し、ワーカープロセスがクラッシュする可能性
• CVE-2026-40701：SSLモジュールにおけるUse After Free。OCSP DNS解決中にTLS接続が切断された場合、解放済みポインター参照が発生する
• CVE-2026-42934：charsetモジュールにおける境界外読み取り。不完全なUTF-8シーケンス処理時のオフバイワンエラーが原因

特に深刻なCVE-2026-42945は、rewriteディレクティブ処理に起因するヒープバッファーオーバーフローで、特定のリクエストによって確保済みメモリー領域を超えて書き込みが発生する可能性がある。

DepthFirstによると、攻撃者はURIエスケープ対象文字を大量に含むリクエストを送信することで、任意サイズのヒープオーバーフローを引き起こせるという。さらにNGINXのマルチプロセス構造を悪用し、隣接メモリー領域の上書きを通じて最終的に任意コード実行へ至る可能性があるとしている。

同社は概念実証コード(PoC)も公開している。

Microsoft、2026年5月の月例セキュリティ更新を公開　CVSS 9.8の重大脆弱性も修正

Microsoftは2026年5月12日(米国時間)、同社製品に影響する脆弱性を修正する2026年5月の月例セキュリティ更新プログラムを公開した。対象製品を利用しているユーザーや企業に対し、できるだけ早期に更新プログラムを適用するよう呼びかけている。

今回の更新では、CVSS基本値9.8以上の重大脆弱性4件が修正された。これらは認証やユーザー操作を必要とせず悪用可能な脆弱性とされる。

対象となる主な脆弱性は次のとおり。

• CVE-2026-42898：Microsoft Dynamics 365 オンプレミスのリモートコード実行の脆弱性
• CVE-2026-42823：Azure Logic Apps の特権昇格の脆弱性
• CVE-2026-41096：Windows DNSクライアントのリモートコード実行の脆弱性
• CVE-2026-41089：Windows Netlogon のリモートコード実行の脆弱性

主な対象製品は次のとおり。

• Windows 11 v26H1/v25H2/v24H2/v23H2
• Windows Server 2025/2022/2019/2016
• Microsoft Office
• Microsoft SharePoint
• Microsoft .NET
• Microsoft SQL Server
• Microsoft Azure

Microsoftはこのところ累積更新プログラムによる不具合がたびたび報告されているものの、公開済み脆弱性はサイバー攻撃側にも分析材料を与えることになる。セキュリティ対策の観点からは、可能な限り迅速な更新適用が望まれる。

「令和8年度住民税」メールに注意　PayPay悪用のフィッシング確認

フィッシング対策協議会は5月11日、住民税納付を装うフィッシングについて緊急情報を公開し、注意を呼び掛けた。偽サイトへ誘導し、スマートフォン決済サービスPayPayを悪用して送金させる手口とみられる。

確認されているメールの件名は「【重要】令和8年度 住民税(第1期)納付のご案内」など。受信者を偽の納付サイトへ誘導し、PayPayアプリを起動させて支払いを行わせるという。

同協議会によると、5月11日午後3時時点でもフィッシングサイトは稼働しており、今後も類似サイトが公開される可能性があるとしている。

同協議会は、不審なメールやSMSからアプリを起動して支払いを行わないよう呼びかけるとともに、迷惑メールフィルターの活用を推奨している。

また、フィッシングメールが届く背景にはメールアドレスの漏えいがあると指摘。漏えいした情報は犯罪者間で流通し続ける可能性があるため、被害が継続する場合は「正規メール視認性向上」機能を備えたメールサービスへの移行や、新しいメールアドレスの利用も検討すべきとしている。

類似のメールやSMSを確認した場合は、同協議会への情報提供を呼びかけている。

CISA、Cisco SD-WANとExchange Serverの悪用を確認済みの脆弱性をKEVカタログに追加

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、5/11～5/17に、Ciscoの「Cisco Catalyst SD-WAN」およびMicrosoftの「Exchange Server」に関する2件の脆弱性を、Known Exploited Vulnerabilities(KEV)カタログへ追加した。

CISAが追加したエクスプロイトは次のとおり。

• CVE Record: CVE-2026-20182
• CVE Record: CVE-2026-42897

Cisco Catalyst SD-WANの脆弱性(CVE-2026-20182)は、認証回避によって高権限アクセスやSD-WAN設定の改ざんが可能になる問題で、すでに悪用が確認されている。

また、Microsoft Exchange Serverの脆弱性(CVE-2026-42897)では、クロスサイトスクリプティング(XSS)に起因するスプーフィングの危険性があるとされる。

CISAは、対象製品を利用している組織に対し、利用状況を確認したうえで、ベンダーが提供する更新プログラムや対策情報に基づき、速やかな対応を実施するよう呼びかけている。

• Known Exploited Vulnerabilities Catalog | CISA
• Cybersecurity Alerts & Advisories | CISA

まとめ

今週は、広く利用されているエレコムの無線LANルータの脆弱性、長期間潜伏していたNGINXの重大な脆弱性や、広範囲なMicrosoft製品の更新、インターネット基盤に関わる重要なセキュリティ情報が相次いだ。また、住民税納付を装うフィッシング詐欺のように、利用者心理を悪用する攻撃も継続して確認されている。

サイバー攻撃は日常的かつ継続的に発生しており、単発の対策だけでは十分とは言えない。組織や個人は、OSやネットワーク機器の更新、メール対策、多要素認証、脆弱性情報の継続的な収集を習慣化し、被害を未然に防ぐ体制を維持することが重要だ。

参考

• IPA 独立行政法人 情報処理推進機構
• JPCERT コーディネーションセンター
• フィッシング対策協議会　Council of Anti-Phishing Japan
• Japan Vulnerability Notes
• Home Page | CISA
• News | CISA
• Cybersecurity Alerts & Advisories | CISA