【要確認】Ubiquiti UniFi OS のパストラバーサル CVE-2026-34909(CVSS 10.0)― ネットワーク隣接からのファイル窃取に注意

UniFi OS Traversal — CVE-2026-34909 — CVSS 10.0, patch now
Photo: Pexels (free stock)

Ubiquiti UniFi OS に存在するパストラバーサル脆弱性 CVE-2026-34909(開示:2026年5月22日)は、CVSS 3.1 基本値 10.0(Critical)と評価されており、認証不要・ネットワーク越しに完全な機密性・完全性・可用性への影響が成立しうる最高水準の深刻度を持つ。2026年6月23日には CISA の既知悪用脆弱性カタログ(KEV)に追加された。新たに発見された脆弱性ではないが、KEV 掲載は実際の悪用が継続していることを示唆する。UniFi 機器を運用する組織は、パッチ適用状況を改めて点検してほしい。

どんな脆弱性か

本脆弱性は パストラバーサル(ディレクトリ走査) に分類される。攻撃者はネットワーク上から細工したリクエストを送信することで、アプリケーションが本来許可していないファイルパスへアクセスし、基盤システム上の任意ファイルを読み取ることができる。さらに、取得した情報を利用して基盤アカウント(OS レベルの権限)へのアクセスへつなげうると評価されている。CVSS ベクトルの Scope:Changed はネットワーク機器本体の境界を越えて影響が及ぶことを意味する。悪用に認証は不要であり、インターネット直接公開機器だけでなく、同一ネットワークや隣接セグメントから到達可能な機器も対象となる点に注意が必要だ。境界・集約ネットワーク機器が侵害された場合、そこを踏み台にした横展開リスクも念頭に置きたい。

影響と対応の考え方

本脆弱性は Ubiquiti UniFi OS を搭載する機器に関連する。UniFi シリーズはルーター・スイッチ・アクセスポイント・セキュリティゲートウェイなど多岐にわたり、中小企業・教育機関・キャンパスネットワークで広く採用されているため、潜在的な影響範囲は広い。具体的な影響バージョンおよび修正バージョンの番号は本記事では記載しない。正確な情報は Ubiquiti 公式アドバイザリ および CISA KEV カタログ で確認すること。自組織内の UniFi 機器が対象バージョンに該当するかどうかを管理コンソール(UniFi Network Application)上で棚卸しし、修正版へのアップデート可否を速やかに評価することが基本的な対応の方向性となる。

対応策

  1. パッチ適用状況の確認:Ubiquiti 公式アドバイザリおよび CISA KEV を参照し、自組織の UniFi OS バージョンが修正済みかを確認する。管理コンソールの自動更新設定だけに頼らず、適用結果を台帳で記録・確認することを推奨する。
  2. 該当資産の棚卸し:社内ネットワーク上に存在する UniFi OS 搭載機器を網羅的にリストアップする。影子 IT(情シス未把握の機器)が存在しないか、SNMP スキャンや管理コンソールのデバイス一覧を照合して確認する。
  3. 侵害有無の点検:CISA KEV 掲載は悪用が現実に発生していることを前提として扱う。対象機器のアクセスログ・異常な設定変更履歴・不審なアカウント生成の有無を確認し、IDS/SIEM で公開されている IoC と照合する。

「境界機器の侵害は、全内部資産の侵害に等しい」

Omamori AI の結論

  1. 事実:CVE-2026-34909 は認証不要・CVSS 10.0 の最高水準脆弱性であり、CISA KEV への掲載により現実の悪用が確認されている段階にある。
  2. 判断軸:「インターネット非公開だから安全」という判断は成立しない。隣接ネットワークからの攻撃が前提となるため、ゼロトラスト的な観点で内部ネットワークの境界機器も同等に対処対象として位置付けるべきだ。
  3. 打ち手:①公式アドバイザリに基づく修正版へのアップデート、②対象機器の管理インターフェースへのアクセス制限(ACL・管理 VLAN 分離)、③侵害痕跡の確認、の三点を優先順位をつけて実施する。

経営者視点で考えるべきこと

CISA KEV に掲載された脆弱性は、米国連邦政府機関に対して期限付き対応が義務付けられるほど優先度が高いと判断されたものだ。日本企業にその義務はないが、KEV 掲載は「悪用の可能性がある」ではなく「悪用が確認されている」を意味する指標として参照できる。境界ネットワーク機器が侵害されれば、内部システムへの横展開・情報窃取・業務停止へ連鎖するリスクがある。経営者として確認すべきは「UniFi 機器が何台あり、誰が管理し、最後にパッチを当てたのはいつか」という資産管理の基本だ。この問いに即答できない状態が、実質的なリスクを形成している。

出典:NVDCISA KEV

SHARE 𝕏 in f

あわせて読みたい