トップ/記事一覧/『Tera Term』に2件の脆弱性、悪意あるサーバーに接続すると情報が漏れる恐れ CVE-2026-58317ほか最新版5.6.2へ
tera-term-cve-cover-ja

『Tera Term』に2件の脆弱性、悪意あるサーバーに接続すると情報が漏れる恐れ CVE-2026-58317ほか最新版5.6.2へ

サーバー接続でよく使われる国産ソフト『Tera Term』に、2件の脆弱性CVE-2026-58317・CVE-2026-60060が見つかりました。悪意あるサーバーへ接続した場合にパソコンのメモリ内容が漏れたり異常終了したりする恐れがあります。深刻度は中程度で実際の悪用は確認されていませんが、影響範囲と最新版5.6.2への更新手順を解説します。

ニュース2026年7月16日公開 本日更新
目次
この記事のポイント

サーバー接続でよく使われる国産ソフト『Tera Term』に、2件の脆弱性CVE-2026-58317・CVE-2026-60060が見つかりました。悪意あるサーバーへ接続した場合にパソコンのメモリ内容が漏れたり異常終了したりする恐れがあります。深刻度は中程度で実際の悪用は確認されていませんが、影響範囲と最新版5.6.2への更新手順を解説します。

サーバーへの接続に広く使われている国産ソフト「Tera Term(テラターム)」に、2件の脆弱性が見つかりました。日本のセキュリティ情報を集約するJVN(JVN65294474)が2026年7月16日に公表したもので、悪意のあるサーバーに接続してしまった場合に、パソコンのメモリの内容が外部に漏れたり、ソフトが突然終了したりする恐れがあります。

問題があるのは、Tera Termで暗号化通信を担う「TTSSH2」という部品です。開発元はすでに修正版のTera Term 5.6.2(TTSSH2 3.6.2)を2026年7月15日に公開しています。深刻度は開発元の評価で「中程度」、実際に攻撃に使われた形跡は確認されていません。あわてる必要はありませんが、この記事では何が起きるのか、自分の環境が対象か、どう更新するかを順に整理します。

そもそもTera Termとは何か

Tera Termは、パソコンから離れた場所にあるサーバーや通信機器に接続して操作するための、Windows向けの無料ソフトです。1990年代から続く歴史があり、現在はTeraTerm Projectが開発を引き継いでいます。国産で日本語の情報が豊富なこともあり、日本のシステム運用や開発、ネットワーク機器の設定、組み込み機器の動作確認といった現場で、定番のツールとして長く使われてきました。

今回問題になっているのは、Tera Termに組み込まれている「TTSSH2」というプラグイン(追加機能の部品)です。TTSSH2は「SSH」という暗号化通信の仕組みを担当します。SSHとは、手元のパソコンとサーバーの間の通信を第三者に盗み見られないよう暗号化し、安全に遠隔操作するための決まりごとのことです。サーバーにログインするときや、機器の設定を変更するときに、この部品が裏側で通信を処理しています。

つまり今回の話は、「サーバーにつなぐときの通信部品に、データの扱いを誤る不具合があった」というものです。Tera Termを使ってどこかのサーバーへ接続している人であれば、誰でも関係し得ます。

何が起きたのか、2件の脆弱性の中身

今回公表されたのは、いずれもTTSSH2が受け取ったデータの長さを正しく扱えないという2件の不具合です。どちらも、利用者が攻撃者の用意したサーバーへSSH接続を試みたときに、本来触ってはいけないメモリ領域に手を伸ばしてしまう「メモリ境界外アクセス」という種類の問題です。まず概要を表にまとめます。

項目CVE-2026-58317CVE-2026-60060
不具合の種類符号の扱いを誤る
変換エラー
長さの数値の
取り違え
起きることメモリの
境界外を読む
メモリの境界外への
書き込み・情報流出
深刻度(開発元)中程度
(CVSS 5.1/6.3)
中程度
(CVSS 5.1/6.3)
攻撃の前提悪意あるサーバーへ
接続してしまうこと
悪意あるサーバーへ
接続してしまうこと
実際の悪用確認されていない確認されていない

CVE-2026-58317:メモリの境界外を読み取ってしまう

1件目のCVE-2026-58317は、数値の扱いを誤る変換のミスによるものです。プログラムでは、マイナスを表せない数値(符号なし整数)と、マイナスも表せる数値(符号付き整数)を区別して扱います。TTSSH2はこの2つの変換を一部で誤っており、その結果、割り当てられた範囲の外側のメモリを読み取ってしまう可能性があります。深刻度は開発元評価で中程度(新しい基準のCVSS 4.0で5.1、従来のCVSS 3.0で6.3)です。この問題は、脆弱性を発見した中村行宏氏が、日本の「情報セキュリティ早期警戒パートナーシップ」という制度に基づいてIPA(情報処理推進機構)へ報告したものです。

CVE-2026-60060:メモリの外に書き込み、内容が外部へ漏れる恐れ

2件目のCVE-2026-60060は、受け取ったデータの「長さ」を示す数値と、実際のデータの中身が食い違ったときに、それを正しく処理できないという問題です。JVNの説明によると、これによってメモリの境界外への書き込みが起き、隣り合ったメモリの内容がサーバーへ送信されたり、Tera Termが予期しない動作をしたり、異常終了したりする可能性があります。つまり、パソコンのメモリに残っていた別の情報が、接続先のサーバーへ意図せず流れ出る恐れがあるということです。深刻度はやはり中程度(CVSS 4.0で5.1、CVSS 3.0で6.3)です。こちらは開発者自身がJPCERTコーディネーションセンター(JPCERT/CC)へ報告しています。

この脆弱性を悪用できるのは誰か

この2件は、いわゆる「サーバーを乗っ取られる」タイプの脆弱性ではありません。むしろ逆で、接続する側(Tera Termを使う人)が狙われるのが特徴です。仕組みが少し独特なので、誰がどう悪用し得るのかを整理します。

狙えるのは、本物そっくりの偽サーバーを用意できる、あるいは通信を横取りして接続先をすり替えられる攻撃者です。利用者がうっかりそのサーバーへSSH接続してしまうと、攻撃者が用意した細工されたデータがTTSSH2に届きます。

攻撃者はその瞬間に、Tera Termを動かしているパソコンのメモリを境界外まで読み書きさせ、内容の一部を自分のサーバーへ送らせたり、ソフトを異常終了させたりすることを狙います。うまくいけば、メモリに残っていた別の接続情報の断片などが外部に漏れる可能性があります。

ただし、この攻撃が成立するには「利用者が攻撃者のサーバーに自分から接続してしまう」というハードルがあります。日ごろ自分が管理する信頼できるサーバーだけに接続している限り、この経路は簡単には成立しません。逆に、接続先のアドレスをよく確認せずに知らないサーバーへつないだり、公衆Wi-Fiなど通信を横取りされやすい環境で作業したりする場面では、リスクが相対的に上がります。だからこそ、次に説明する更新で穴自体をふさいでおくのが確実です。

自分のTera Termは影響を受けるのか

影響を受けるのは、TTSSH2のバージョンが3.6.1以前のTera Termです。これは実質的に、修正版が出る前のほぼすべてのバージョンが対象ということになります。自分の使っているバージョンは、Tera Termのメニューの「ヘルプ」→「バージョン情報」から確認できます。下の早見表で状況を照らし合わせてください。

使っているバージョン影響やるべきこと
Tera Term 5.6.2 以降
(TTSSH2 3.6.2 以降)
影響なし
(修正済み)
対応不要
Tera Term 5.0〜5.6.1
(TTSSH2 〜3.6.1)
影響あり5.6.2へ更新
Tera Term 4系
(開発終了・旧世代)
影響あり
+サポート終了
5.6.2へ移行
SSHを使わない
(シリアル接続のみ)
この件の直接の
影響は小さい
早めに更新推奨

Tera TermはSSH以外に、機器と直接ケーブルでつなぐ「シリアル接続」でも使われます。今回の脆弱性はSSH通信の部品にあるため、シリアル接続だけで使っている場合の直接の影響は小さくなります。とはいえ、Tera Term 5.6.2ではこの脆弱性のほかにファイル転送まわりの不具合修正も入っているため、用途にかかわらず最新版へそろえておくのが無難です。

深刻度は「中程度」、あわてる必要はない理由

ニュースやセキュリティ検査ツールでは、脆弱性の深刻度が「CVSS」という10点満点の点数で示されます。点数が高いほど危険とされ、9.0以上は「緊急(Critical)」に分類されます。今回の2件はどちらも、開発元評価で新基準のCVSS 4.0が5.1、従来のCVSS 3.0が6.3で、いずれも「中程度(Medium)」です。緊急ではありません。

落ち着いて対応してよい根拠は、点数以外にもあります。第一に、この脆弱性を突く攻撃には「利用者が攻撃者のサーバーへ自分から接続する」という前提が必要で、無条件に誰でも狙われるわけではありません。第二に、現時点で実際の悪用は確認されておらず、攻撃の実証コード(PoC)も公開されていません。第三に、米政府の機関CISAが公開する「実際に攻撃されている脆弱性の一覧(KEV)」にも含まれていません。KEVがどのようなものかは、当サイトのCISA KEVダッシュボード(日本語版)で確認できます。

深刻度の数字が独り歩きしがちなのは、Tera Termに限った話ではありません。先日も、サーバーソフトのApache Tomcatで検査ツールが『9.1・緊急』と表示する一方、開発元評価は『低』という食い違いが話題になりました。表示された点数だけで判断せず、採番元(開発元)の評価と、実際に悪用されているかまで見て動くのが、あわてず正確に対応するコツです。今回は「中程度・悪用なし」なので、緊急対応ではなく、計画的な更新で十分です。

対策:最新版5.6.2へ更新する手順

対策はシンプルで、Tera Termを最新の5.6.2へ更新するだけです。修正版のTTSSH2 3.6.2がこの2件をふさいでいます。更新の手順は次のとおりです。

  • 公式の配布ページであるGitHubのリリースページを開き、最新の「v5.6.2」を選ぶ
  • 自分のパソコンに合ったインストーラー(64ビット版のx64、32ビット版のx86、arm64版)をダウンロードする
  • 持ち運び用に設定を含めて使いたい場合は、インストール不要のZIP形式(ポータブル版)も選べる
  • ダウンロードしたインストーラーを実行し、画面の指示に従って更新する。設定は基本的に引き継がれる

社内で多くの端末に配布している場合や、インストーラーを一括管理している場合は、配布用のパッケージを5.6.2に差し替えてから展開してください。なお、ソフトの配布元をよく確認することも大切です。ダウンロードは必ず公式サイトやGitHubの公式リリースから行い、検索結果に出てくる出所不明の配布サイトは避けてください。

技術的に見ると、なぜ起きたのか

2件はどちらも、SSH通信で受け取ったデータの「長さ」の扱いに根ざしています。SSHでは、やり取りするデータの前に「これから何バイト送る」という長さの情報が付きます。受け取った側は、その長さを信じてメモリの領域を確保し、データを読み書きします。ここで長さの解釈を誤ると、確保した範囲をはみ出してメモリを触ってしまいます。

CVE-2026-58317(CWE-196「符号なし整数から符号付き整数への変換エラー」)は、長さを表す数値を符号なしから符号付きへ変換する際のミスです。本来は大きな正の数であるはずの値が、変換によって負の数として解釈されると、範囲チェックがすり抜け、想定外の位置を読み取ってしまいます。

CVE-2026-60060(CWE-130「長さパラメータの不整合に対する不適切な処理」)は、宣言された長さと実際のデータ量が食い違ったときの処理不足です。これにより境界外への書き込みが起き、隣接するメモリの内容がそのまま応答としてサーバーへ返ってしまう、いわゆる情報漏えいにつながります。修正版のTTSSH2 3.6.2では、リリースノートで「受信したSSH2パケットの長さ検証に関する問題を修正した」と説明されており、受け取った長さを使う前にきちんと検証する処理が加えられています。攻撃者の用意したサーバーが不正な長さの値を送りつけても、はみ出しが起きないようになっています。

Tera Termと過去のSSHの脆弱性

Tera Termで暗号化通信の脆弱性が扱われるのは、初めてではありません。2023年末には、SSHという規格そのものに見つかった「Terrapin(テラピン)」と呼ばれる問題(CVE-2023-48795)が世界中のSSH対応ソフトに影響し、Tera Termも古いバージョンが対象になりました。このときも、修正版へ更新することが対策でした。

こうした経緯からも分かるのは、SSHのような通信の土台を担う部品では、細かな不具合が定期的に見つかり、そのつど修正されていくのが通常の流れだということです。だからこそ、「使っている定番ツールを最新に保つ」という当たり前の運用が、いちばん効きます。今回の2件も、開発元が報告を受けてから速やかに修正版を公開しており、日本の報告制度(IPA・JPCERT/CC)と開発元の連携が機能した例と言えます。

よくある質問

Q. 今すぐ更新しないと危ないですか。

A. 緊急ではありません。深刻度は中程度で、実際の悪用も確認されていません。ただし修正版はもう出ているので、次のメンテナンスのタイミングなどで計画的に5.6.2へ上げておくのがよいでしょう。特に、知らないサーバーへ接続する機会が多い人や、公衆Wi-Fiで作業する人は早めの更新をおすすめします。

Q. 自分の管理するサーバーにしか接続していません。それでも影響はありますか。

A. この攻撃は「攻撃者が用意したサーバーへ接続してしまう」ことが前提です。信頼できる自分のサーバーだけに接続している限り、悪用の経路は成立しにくいと言えます。とはいえ、通信の横取りで接続先をすり替えられる可能性はゼロではないため、更新して穴自体をふさぐのが確実です。

Q. 検査ツールで「危険」と出ました。どうすれば。

A. 検査ツールが示す点数は、最悪の場合を想定した自動計算になっていることがあります。今回の開発元評価は「中程度」で、実際の悪用もありません。表示に驚いて緊急対応する必要はなく、5.6.2へ更新すれば解消します。

Q. Tera Term 4系を使い続けても大丈夫ですか。

A. Tera Term 4系はすでに開発が終了しており、今後は新しい修正が提供されません。今回の件に限らず、サポートの続く5系(5.6.2以降)へ移行することを検討してください。

まとめ

国産の定番ソフトTera Termに、暗号化通信を担うTTSSH2の脆弱性が2件(CVE-2026-58317・CVE-2026-60060)見つかりました。悪意のあるサーバーへ接続してしまった場合に、パソコンのメモリ内容が漏れたり、ソフトが異常終了したりする恐れがあります。深刻度は中程度で、実際の悪用は確認されておらず、緊急ではありません。

やるべきことは一つで、Tera Termを最新の5.6.2へ更新することです。修正版のTTSSH2 3.6.2がこの2件をふさいでいます。数字の大きさに振り回されず、開発元評価と実際の悪用状況を見たうえで、計画的に更新しておく。今回のような「中程度・悪用なし」の脆弱性は、その落ち着いた運用がそのまま最適解になります。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go