人気AIコーディングルーター『9Router』に脆弱性が相次ぐ、保存したAPIキーやトークンが丸ごと盗まれる恐れ CVE-2026-55500ほか、最新版へ即更新を
Claude CodeやCursorを無料のAIに繋ぐ人気ツール『9Router』(GitHubスター2万超)に、深刻な脆弱性が相次いで見つかりました。保存したAPIキーやトークンが丸ごと盗まれる恐れ(CVE-2026-55500・危険度9.9)に加え、ログイン不要でサーバーを乗っ取られる最悪評価10.0の欠陥も。自己ホストしている人は今すぐ最新版へ更新し、インターネットに公開しないでください。
目次
Claude CodeやCursorを無料のAIに繋ぐ人気ツール『9Router』(GitHubスター2万超)に、深刻な脆弱性が相次いで見つかりました。保存したAPIキーやトークンが丸ごと盗まれる恐れ(CVE-2026-55500・危険度9.9)に加え、ログイン不要でサーバーを乗っ取られる最悪評価10.0の欠陥も。自己ホストしている人は今すぐ最新版へ更新し、インターネットに公開しないでください。
Claude CodeやCursor、Clineといった開発ツールを、複数のAIサービスに賢く振り分けてつなぐ人気の無料ツール「9Router(ナインルーター)」に、保存したAPIキーやトークンが丸ごと盗まれ、サーバーごと乗っ取られかねない深刻な脆弱性が相次いで見つかりました。中心となるCVE-2026-55500は、データベースを丸ごと外部へ書き出せてしまう欠陥で、危険度は10点満点中9.9。さらに、ログイン不要でサーバー上の命令を実行できる最悪評価10.0の欠陥まで報告されています。
9Routerは、GitHubのスターが2万を超える急成長中のツールで、その性質上、利用者が使う各種AIサービスのAPIキーやログイン用トークンをまとめて保管します。つまり、この保管庫が破られると、攻撃者は利用者になりすまして高額なAI利用料を使い込んだり、連携先のアカウントへ侵入したりできます。9Routerを自分のパソコンやサーバーで動かしている(自己ホストしている)人は、今すぐ最新版へ更新し、インターネットに公開しない設定を確認してください。
9Routerとは何か
9Routerは、Claude CodeやCursor、Cline、Copilotといった「AIにコードを書かせる開発ツール」と、その裏で動くAIサービス(Claude、GPT、Geminiなど40以上)との間に入る、振り分け役(プロキシ)のソフトです。利用回数の上限に達したら別の無料・格安サービスへ自動で切り替えたり、送るデータを圧縮して消費量を減らしたりして、「AIコーディングを無料・低コストで使い倒す」ことをうたっています。無料のオープンソースソフトで、利用者が自分のパソコンやサーバーで動かして使います。
便利さの裏返しとして、9Routerは接続先の各AIサービスのAPIキー(利用のための秘密の鍵)や、OAuthというログイン連携のトークンを、自分の中のデータベースにまとめて保存します。ここが破られれば、複数サービスの鍵が一度に流出します。AIをまとめて扱う中継ソフトが攻撃者の標的になるのは、同種の中継ツールLiteLLMの乗っ取りの脆弱性や、AI基盤vLLMのAPIキー回避の欠陥でも繰り返し見られた構図です。
何が危険なのか、どこまで被害が広がるのか
今回怖いのは、欠陥が1つではなく複数の重大な穴が重なっている点です。とくに影響が大きいのは次の3つです。まず、データベースを丸ごと外部へ書き出せる欠陥(CVE-2026-55500/危険度9.9)。ここには保存されたAPIキーやOAuthトークンが、そのまま読める形(平文)で含まれます。次に、ログインなしでサーバー上の命令を実行できる欠陥(CVE-2026-46339/最悪評価10.0)。そして、あらかじめ決められた「共通の合言葉」を使って認証を突破できる欠陥(CVE-2026-49352/危険度9.8)です。
これらは単独でも危険ですが、組み合わさると被害がさらに深刻になります。たとえば、合言葉で認証を突破する欠陥(49352)を使えば、本来は正規の利用者しか触れないはずのデータベース書き出し(55500)に、外部の攻撃者がたどり着けてしまいます。結果として、事実上ログイン不要で、保存された全サービスの鍵を根こそぎ持ち去られる恐れがあります。
鍵を奪われた利用者は、契約しているAIサービスを勝手に使われて高額な料金を請求されたり、連携していたクラウドや開発サービスのアカウントに侵入されたりします。9Routerは本来、自分のパソコンの中だけで動かす前提のツールですが、外部からも使えるように公開設定(トンネルやVPSへの設置、クラウド同期)にしていると、これらの穴がインターネット越しに突かれます。AIコーディングツールClineのAPIキー窃取の脆弱性と同じく、開発者の手元にある「鍵束」が狙われる典型です。
誰がこの穴を狙い、何が起きるのか
この脆弱性を突くと想定されるのは、他人のAPIキーを盗んで自分のAI利用料を肩代わりさせたり、盗んだ鍵を売りさばいたりする攻撃者や、開発者のサーバーを乗っ取って侵入の足がかりにするランサムウェア集団です。9Routerには複数サービスの鍵がまとまっているため、1台破るだけで大きな見返りが得られ、攻撃者にとって効率のよい標的になります。
攻撃の流れはこうです。攻撃者はインターネットに公開された9Routerを探し出し、共通の合言葉や無防備な窓口を使って中に入り込み、データベースを丸ごと書き出して全部の鍵を抜き取るか、サーバー上で自分の命令を実行します。人気ツールほど設置台数が多く、自動で探し回るプログラムに見つかりやすいのが実情です。
結果として、狙われた利用者は、身に覚えのない高額なAI利用料を請求されたり、鍵を悪用して連携先のサービスやクラウドへ侵入されたりします。開発ツールや中継ソフトを起点に組織へ広がる「サプライチェーン攻撃」は近年増えており、月間9500万ダウンロードのLiteLLMが乗っ取られた事例のように、広く使われるほど被害も大きくなります。配布元をまたいで依存関係を点検するOSSサプライチェーンの点検の観点でも、こうした中継ツールは注意が要ります。
技術的に見ると何が起きているのか
相次いで報告された欠陥のうち、影響の大きい3件には、それぞれ識別番号が割り当てられています。
CVE-2026-55500:データベースを丸ごと書き出せ、全ての鍵が流出(危険度9.9)
9Routerには、設定用の/api/settings/databaseという窓口があり、ここからデータベースの書き出し(エクスポート)と取り込み(インポート)ができます。問題は、この窓口を守る仕組みが「トークンを持っているか」だけを確認し、「重要な操作をしてよい相手か」までは確認していなかったことです。その結果、権限の低い利用者でも、APIキー・OAuthトークン・OIDCの秘密情報を平文で含んだデータベース全体を書き出せてしまいます。取り込み側も無防備で、攻撃者が用意した中身でデータベースをまるごと上書きすることも可能です。米国立標準技術研究所(NIST)はこれを、機密情報の不正な露出(CWE-200)として整理しています。対象はv0.4.71以前で、NVDは開発元の対応としてv0.4.80での修正を挙げています。
CVE-2026-46339:ログイン不要でサーバー上の命令を実行(最悪評価10.0)
9Routerには、外部ツールと連携するための/api/cli-tools/や/api/mcp/という窓口があります。ところが、ログインを求める仕組みがあらかじめ決められた8つの窓口しか守っておらず、これらの連携用の窓口は無防備なままでした。攻撃者は、ログインせずに悪意ある「プラグイン(任意のコマンドを仕込んだ拡張)」を登録し、別の窓口を呼び出すだけで、サーバー上で自由に命令を実行できてしまいます。危険度はCVSSの上限に達する10.0。対象はv0.4.30〜v0.4.36で、外部連携(MCP)の機能を追加した際に持ち込まれた欠陥で、v0.4.37で修正されています。ログインも利用者の操作も不要という、最も突かれやすいタイプです。
CVE-2026-49352:ハードコードされた共通の合言葉で認証を突破(危険度9.8・実証コード公開)
9Routerは、ログイン状態を証明するトークンを、秘密の合言葉(JWTシークレット)で署名します。問題は、利用者がこの合言葉を自分で設定していない場合に、プログラムに直接埋め込まれた既定の合言葉「9router-default-secret-change-me」がそのまま使われることでした。この文字列は誰でも知ることができるため、攻撃者はこれを使って正規のログイントークンを自分で偽造し、管理画面やAPIへ自由にアクセスできてしまいます。米国立標準技術研究所(NIST)はこれを、ハードコードされた認証情報の使用(CWE-798)として整理しています。対象はv0.2.21〜v0.4.44で、v0.4.45で修正されました。すでに実証コード(攻撃を再現するサンプル)が公開されており、この合言葉を放置している古い版は、先ほどのデータベース書き出し(55500)と組み合わせて、事実上ログイン不要で全ての鍵を抜かれる恐れがあります。
このほか、ログイン試行の回数制限を回避できる欠陥(CVE-2026-55501)など、短期間に複数の問題が報告されています。全体として、外部からの入力を受け付ける窓口の守りが甘く、認証と権限の確認が不十分だった、というのが共通する原因でございます。
影響を受けるバージョンと対策
主な欠陥ごとに、対象バージョンと修正版は次の通りです。修正版がそれぞれ異なるため、すべてをまとめて解消するには、入手できる最新版(v0.4.80以降)へ更新するのが確実です。
| 識別番号 | 内容 | 危険度 | 対象 | 修正版 |
|---|---|---|---|---|
| CVE-2026-46339 | 無認証で命令実行 (RCE) | 10.0 | 0.4.30〜0.4.36 | 0.4.37 |
| CVE-2026-55500 | DB全体の書き出し (全鍵流出) | 9.9 | 0.4.71以前 | 0.4.80 |
| CVE-2026-49352 | 既定の合言葉で 認証突破 | 9.8 | 0.2.21〜0.4.44 | 0.4.45 |
更新に加えて、9Routerをインターネットに公開しないこと(トンネルやVPSでの外部公開、クラウド同期を使っている場合は見直す)、そして自分だけの強い合言葉(JWTシークレット)を設定することが重要です。本来この種のツールは手元の環境だけで動かすのが安全で、外に開くほど今回のような穴が突かれやすくなります。
確認できていること、まだ分からないこと
✓ 確認済みの事実
- ✓設定窓口からデータベース全体(平文のAPIキー・トークンを含む)を書き出し・上書きできる。危険度9.9(NVD)
- ✓無防備な連携窓口から、無認証でサーバー上の命令を実行できる欠陥(CVE-2026-46339/10.0、0.4.37で修正)が別途存在(GitHub Advisory)
- ✓既定のJWTシークレットによる認証突破(CVE-2026-49352/9.8、0.4.45で修正)は実証コードが公開済み(GitLab Advisory)
? まだ確認されていないこと
- ?これらの脆弱性が実際の攻撃に大規模に悪用されたという公式な報告は、公開時点では確認されていない
- ?米政府CISAの「実際に攻撃が確認された脆弱性リスト(KEV)」には、公開時点で登録されていない(KEVの最新状況はこちらで確認できる)
- ?認証突破には実証コードが公開されており、公開後は組み合わせによる悪用が始まりやすい点に注意が必要
今すぐできる対策
対策の軸ははっきりしています。9Routerを入手できる最新版(v0.4.80以降)へ更新することが最優先です。修正版はGitHubのリリースページから入手できます。あわせて、インターネットに公開する設定を止め、自分だけの強い合言葉(JWTシークレット)を設定することで、外部からの悪用の入口を大きく狭められます。
更新の前後では、保存していたAPIキーやトークンの入れ替え(再発行)も検討してください。すでに古い版を外部公開していた場合、鍵がすでに抜かれている可能性を否定できないためです。各AIサービスの管理画面でキーを作り直し、古い鍵を無効化しておくと安心です。中継ツールに鍵を預ける構成は便利ですが、預けた先が破られると被害が一度に広がる点は、通信ライブラリで認証情報が漏れる脆弱性など、他の事例とも共通します。
| 立場 | 今できること | 優先度 |
|---|---|---|
| 9Router利用者 | 最新版へ更新・外部公開を停止 強いJWTシークレットを設定 | 最優先 |
| 外部公開していた人 | 全APIキー・トークンの再発行 不審なアクセス履歴の確認 | 高 |
| 乗っ取りの疑い | サーバーの隔離・調査 連携先アカウントの点検 | 高 |
よくある質問
Q. 自分のパソコンの中だけで9Routerを使っていても危険ですか。
A. インターネットに公開せず手元だけで動かしている場合、外部から直接狙われる可能性は下がります。ただし、同じパソコンで動く別の不正なプログラムや、うっかり有効にした外部公開・クラウド同期の設定を通じて悪用される恐れは残ります。確実なのは最新版へ更新し、公開設定を見直すことです。
Q. 自分の9Routerのバージョンはどう確認すればいいですか。
A. 9Routerの管理画面や、インストール時のバージョン表示で確認できます。v0.4.80より前であれば、今回のいずれかの欠陥の対象になっている可能性が高いため、GitHubのリリースページから最新版を入手して更新してください。
Q. すでにAPIキーが盗まれていないか心配です。
A. 古い版を外部に公開していた場合は、念のため各AIサービスの管理画面でAPIキーを作り直し、古い鍵を無効化することをおすすめします。あわせて、身に覚えのない利用料の請求や、連携先アカウントの不審な操作がないかも確認してください。
Q. すでに攻撃に悪用されているのですか。
A. 本記事の公開時点で、これらの脆弱性が実際の攻撃に大規模に使われたという公式な報告は確認されていません。米政府CISAの攻撃確認リスト(KEV)にも登録されていません。ただし認証突破の実証コードが公開されており、人気ツールで設置台数が多いため、公開後に悪用が始まりやすい点に注意が必要です。
まとめ
今回の件は、AIコーディングを安く使うための人気の中継ツール9Routerが、外部からの入力を受け付ける窓口の守りが甘かったために、保存したAPIキーやトークンを丸ごと抜かれ、サーバーごと乗っ取られかねないという話です。中心のCVE-2026-55500は危険度9.9、別途ログイン不要で命令実行できる最悪評価10.0の欠陥や、実証コード付きの認証突破まで重なっており、組み合わされると被害が一気に深刻化します。
救いは、それぞれに修正版が用意されていることです。入手できる最新版(v0.4.80以降)へ更新し、インターネットに公開しない、強い合言葉を設定する、という基本を守れば、大半の入口は塞げます。複数のAIサービスの鍵を1か所に預ける便利さには、預け先が破られたときに被害が集中する危うさが表裏一体でついてまわります。心配な場合は鍵の再発行まで済ませておくのが安全です。新たな悪用の動きがあれば、あらためてお伝えします。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go