【緊急】世界のWi-Fiルータの土台「dnsmasq」に脆弱性6件、機器乗っ取りの恐れ
世界中のWi-Fiルータ・IoT機器・Linuxサーバの土台になっている「dnsmasq」に、6件の脆弱性が見つかりました。最悪のものは管理者権限の乗っ取り、他にニセのサイトへの誘導やサービス停止も。修正版は2.92rel2。家庭のルータでも他人ごとではありません。
堀川 慎
Backend Engineer / AWS / Django
世界中のWi-Fiルータ・IoT機器・Linuxサーバの土台になっている「dnsmasq」に、6件の脆弱性が見つかりました。最悪のものは管理者権限の乗っ取り、他にニセのサイトへの誘導やサービス停止も。修正版は2.92rel2。家庭のルータでも他人ごとではありません。
世界中のWi-Fiルータ・IoT機器・Linuxサーバの土台になっている軽量DNSサーバ「dnsmasq」に、6件の脆弱性が見つかりました。最悪のものは管理者権限の乗っ取りで、他にニセのサイトへの誘導、サービス停止、メモリ情報の漏洩なども含まれます。米CERT/CCが2026年5月11日に公開、JVN(日本のCERT)も5月26日に国内向けに告知しました。
修正版のdnsmasq 2.92rel2は同日にリリース済みです。インターネットに直接公開されているdnsmasqはShodan調べで約110万台、ルータの内側で動いている分まで含めればさらに数千万台規模と推定されます。家庭の無線LANルータでも他人ごとではありません。
見つかった6つの脆弱性
公開されているのは以下の6件です。Help Net Securityの報道とCERT/CC VU#471747を元に整理します。
| CVE番号 | 場所 | 何が起きるか | 攻撃元 |
|---|---|---|---|
| CVE-2026-2291 | extract_name() | DNSキャッシュ汚染。ニセのIPアドレスを覚え込ませて、利用者を攻撃者のサーバに誘導できる | リモート |
| CVE-2026-4890 | DNSSEC検証 | 細工したDNSパケットで無限ループを発生させ、サービス停止に追い込める | リモート |
| CVE-2026-4891 | DNSSEC検証 | 本来読んではいけないメモリ領域を読まれて、内部情報が漏れる | リモート |
| CVE-2026-4892 (最重要) | DHCPv6処理 | 管理者権限で任意のプログラムを実行できる。事実上の機器乗っ取り | ローカル |
| CVE-2026-4893 | クライアント送信元情報処理 | 送信元の検証を回避され、本来送れないクエリを通せる | リモート |
| CVE-2026-5172 | extract_addresses() | 壊れたDNS応答でdnsmasqを落とせる(サービス停止) | リモート |
影響を受けるのは2.92rel2より前のほぼすべてのバージョンです。dnsmasqメンテナのSimon Kelley氏は公式メーリングリストへの投稿で「ほぼすべての古くないバージョンに影響する、長く存在し続けてきたバグ」と説明しました。
dnsmasqとは何か。なぜここまで広く使われているのか
dnsmasqは、DNS(インターネット上の名前を住所に変換する仕組み)とDHCP(家庭内のスマホやPCに自動でIPアドレスを割り振る仕組み)を1つにまとめた、軽量なサーバソフトウェアです。開発は2001年から続いていて、すでに20年以上の歴史があります。
軽くて省メモリで設定も簡単、というのが特徴で、リソースが限られる機器のデフォルト構成として広く採用されてきました。代表的な使われ方を並べると、こうなります。
- ―家庭・小規模オフィスのWi-Fiルータ: NEC Aterm、バッファロー、ASUS、TP-Linkなど多数のメーカーが内部で採用
- ―OpenWrt: 自作系のWi-Fiルータで定番のLinuxベースOS
- ―Pi-hole: 家庭内の広告ブロック用DNS。Raspberry Piで動かす個人ユーザーが多い
- ―Linuxディストリビューション: Red Hat、SUSE、Ubuntu、Arch Linux、NixOS、Wind Riverなどが影響を受けるとCERT/CCが明記
- ―Android端末: 一部のテザリング機能などで利用
- ―IoT・組込み機器: 家電、ファイアウォール、VoIP電話、車載Wi-Fi、産業用機器
Bitdefenderの調査では、インターネットに直接公開されているdnsmasqだけで約110万台あると報告されています。さらに家庭内ネットワークの内側で動いているものを含めると、影響を受けうる機器は世界で数千万〜億単位になるとみられます。
過去にもdnsmasqは複数回大きな脆弱性が出ています。2021年の「DNSpooq」では7件の脆弱性が見つかり、当時も「数百万台のルータが危ない」と騒がれました。今回の6件もそれに連なる流れにあります。
一番危険なのは「家庭内Wi-Fi経由で機器を乗っ取られる」CVE-2026-4892
6件の中で最も深刻なのが、CVE-2026-4892です。DHCPv6(IPv6のIPアドレス自動割り当て)の処理にメモリ書き込みのバグがあり、細工したパケットを送ることで管理者権限のまま任意のプログラムを実行できる、というものです。
攻撃にはローカルネットワークへのアクセスが必要なので、インターネット越しに無差別に狙われるタイプではありません。ただし家庭のWi-Fiに何らかの形で侵入されているケース(パスワードが漏れている、ゲスト用Wi-Fiが甘い、家族や来客の端末がマルウェアに感染している、など)では、攻撃者がそこを足場にルータそのものを乗っ取れる可能性があります。
他の5件もそれぞれ重く、特にDNS関連の3件はDNSキャッシュポイズニングと呼ばれる古典的な攻撃手法と相性が良いものです。Palo Alto Networks Unit42の解説では、過去のDNSpooq事件の研究で、シミュレーション環境では平均10秒未満、5分以内に内部ネットワークからdnsmasqを汚染できた事例が紹介されています。今回の脆弱性が同じ難度で悪用できるかは未知数ですが、技術的な近さはあります。
DNSキャッシュポイズニングが成功すると、「銀行のサイト」だと思ってアクセスした先が、攻撃者の用意したそっくりな偽サイトになる、ということが起こり得ます。利用者は普段通りURLを打って、普段通りパスワードを入力する。脆弱性自体は地味でも、最終的な結果は派手になりうるタイプです。
修正版とアップデート方法
公式修正版はdnsmasq 2.92rel2です。6件すべての修正が含まれています。さらに、Simon Kelley氏は「2.93rc1を間もなくタグ付けし、1週間ほどで安定版2.93を出す」とアナウンスしています。
問題は、dnsmasqを自分で直接アップデートできる利用者はそれほど多くないことです。多くの場合、dnsmasqはルータや家電のファームウェアに組み込まれているため、メーカー側がファームウェアアップデートを出してくれるのを待つ必要があります。
| 利用形態 | いま打てる手 |
|---|---|
| 家庭のWi-Fiルータ | メーカー(NEC、バッファロー、ASUS、TP-Link等)の公式サイトでファームウェア更新を確認。出ていなければ通知を待つ。Wi-Fiのパスワードを強くしておく |
| Pi-hole(自宅広告ブロック) | pihole -up を実行。Pi-hole公式が2.92rel2ベースの更新を順次配布予定 |
| OpenWrt | 公式のセキュリティアドバイザリを確認のうえ opkg update && opkg upgrade dnsmasq。OpenWrt公式パッケージで2.92rel2が降ってくるのを待つ |
| Linux サーバ(Red Hat / SUSE / Ubuntu等) | ディストリビューションのパッケージマネージャ(dnf update dnsmasq / apt update && apt upgrade dnsmasq 等)で適用。Red HatはRHSA-2026:19373を発行済み |
| 自前ビルドで使っている人 | 公式サイトから2.92rel2のソースを取得して再ビルド |
CERT/CCの一覧で「影響あり」と確定しているのはArch Linux、NixOS、Pi-hole、Red Hat、SUSE Linux、Ubuntu、Wind River。逆に「影響なし」と回答したのは現時点ではArista Networksのみ。SynologyやDebian、Cisco、Google、ASUS、Oracle、VMwareなど20社以上のベンダーはまだ調査中・回答待ちとされています。家電メーカー含め、ベンダ対応はこの先しばらく続く見込みです。
メンテナの一言が今回の本当のニュースかもしれない
技術的な内容と同じくらい注目されているのが、dnsmasqの事実上ひとりのメンテナであるSimon Kelley氏が、今回の発表に添えた一文です。公式メーリングリストでこう書いています。
「AIを使ったセキュリティリサーチには、革命的とも言える変化が起きています。私はここ数ヶ月、バグレポートの仕分けに大量の時間を費やしてきました(重複が本当に多い!)。」
「『善意の人』が見つけられるバグは、『悪意の人』にも見つけられるはずです。だから、長い情報公開禁止期間にあまり意味はないと考えました。」
「AI生成のバグレポートの津波は、止まる気配がありません。だから、このプロセスは近いうちにまた繰り返すことになるでしょう。」
― Simon Kelley(dnsmasqメンテナ)、dnsmasq-discuss メーリングリスト
これは、世界のインフラを支える主要なOSSが、個人メンテナの時間に依存して支えられているという長年の構造問題を、AIの普及がさらに加速させているという話に読めます。AIを使えば誰でも大量のバグレポートを生成できる。そのうち本物の脆弱性も混ざる。受け取る側のメンテナは、AIの出力をひとつずつ精査して、本物と重複と誤検知を仕分けないといけない。
同じ構造はxz Utils事件以降、何度も言われてきました。以前の検証記事でも書いたように、LLMでコードを書く・レビューする時代の作法は、まだ業界全体で固まっていません。良いことも悪いことも含めて、AIの圧力は確実に主要OSSに届いています。
今回の発表で「2.93を1週間で出す」とKelley氏が宣言しているのは、それだけ次の波が来ると見ているからでしょう。一回限りの脆弱性対応ではなく、今後も同じパターンが繰り返される前提でリリースサイクル自体を組み直し始めている、と読み取れます。
まとめ
| 項目 | 内容 |
|---|---|
| 公開日 | 2026年5月11日(米CERT/CC)/5月26日(日本JVN) |
| 対象 | dnsmasq 2.92rel2 より前のすべてのバージョン |
| CVE件数 | 6件(うち1件は管理者権限の任意コード実行) |
| 修正版 | dnsmasq 2.92rel2(5月11日リリース)/1週間後を目処に2.93予定 |
| 影響範囲 | 家庭・小規模オフィスのWi-Fiルータ、OpenWrt、Pi-hole、Red Hat / SUSE / Ubuntu / Arch / NixOS、IoT機器、Android一部機能ほか。インターネット直接公開だけで約110万台 |
| いま打てる手 | 使っているルータ・OSのメーカー/配布元のアップデート情報を確認。Pi-hole/OpenWrtは公式更新コマンドを実行。家庭内Wi-Fiのパスワードを強くしておく |
家庭ユーザの立場で言えば、すぐに自分の手でできるのは「Wi-Fiのパスワードを強くする」「ルータの管理画面でファームウェア更新が出ていないか確認する」くらいです。NEC Atermの脆弱性のときと同じく、メーカー側のファームウェアアップデートが届くまでには数週間〜数ヶ月のタイムラグがあります。出たときに後回しにしない、を覚えておくだけでも違うと思います。
技術側の論点としては、Simon Kelley氏の「AI生成バグレポートの津波」の一言が、これからのOSSセキュリティ運用を象徴する言葉になっていきそうです。dnsmasq以外のメンテナからも、同じトーンの発信が今後増えると見ています。
参照元
- ―JVN VU#90845089 - dnsmasqにおける複数の脆弱性
- ―CERT/CC VU#471747 - dnsmasq contains several vulnerabilities
- ―dnsmasq-discuss - Security IMPORTANT(Simon Kelleyの公式アナウンス)
- ―dnsmasq公式 CHANGELOG(2.92rel2のリリースノート)
- ―Help Net Security - Six new dnsmasq vulnerabilities open the door to DNS cache poisoning, local root
- ―Palo Alto Networks Unit42 - Overview of dnsmasq Vulnerabilities: The Dangers of DNS Cache Poisoning
- ―Red Hat - RHSA-2026:19373(dnsmasq セキュリティアップデート)
- ―oss-security - dnsmasq vulnerabilities disclosure
- ―Bitdefender - Dnsmasq vulnerability puts home routers and IoT devices at risk
- ―BleepingComputer - DNSpooq bugs let attackers hijack DNS on millions of devices(2021年の前例)