free5GCに5件の重大認証バイパス CVE-2026-44315他、v4.2.2へ即更新を
5Gコアネットワーク実装『free5GC』v4.2.1以下にOAuth2認可欠落の致命5件(CVE-2026-44315/26/27/29/30、CVSS 10.0×3)。NEFとSMFのAPI群が認証不要で操作される。v4.2.2で修正。
堀川 慎
Backend Engineer / AWS / Django
5Gコアネットワーク実装『free5GC』v4.2.1以下にOAuth2認可欠落の致命5件(CVE-2026-44315/26/27/29/30、CVSS 10.0×3)。NEFとSMFのAPI群が認証不要で操作される。v4.2.2で修正。
5G携帯ネットワークのオープン実装として、世界中の大学や通信事業者の研究室で使われているfree5GCに、2026年5月27日、5件の重大な認証バイパス脆弱性が同時開示されました。うち3件はCVSS最高値の10.0。すべてv4.2.1以下に影響し、v4.2.2で修正されています。
問題が起きているのは「NEF(Network Exposure Function)」と「SMF(Session Management Function)」という、5Gコアネットワークの2つの核心コンポーネントです。本来はOAuth2のbearer tokenで認可が必要なAPIエンドポイントが、ミドルウェア設定の不備で認証ヘッダなしのリクエストでも200 OKを返す状態になっていました。
5件のCVEはいずれも台湾の研究者LinZiyuu氏がfree5GCチームに報告したもので、free5GCのGitHubリポジトリで2026年5月27日に5本のGHSAアドバイザリとして同時公開されました。
| CVE | CVSS | 対象コンポーネント | 脆弱な経路 |
|---|---|---|---|
| CVE-2026-44327 | 10.0 | NEF | OAM 運用管理ルート群 |
| CVE-2026-44329 | 10.0 | SMF | UPI ユーザープレーン管理 |
| CVE-2026-44330 | 10.0 | NEF | nnef-pfdmanagement PFDデータ管理 |
| CVE-2026-44315 | 9.4 | NEF | 3gpp-pfd-management PFD管理API |
| CVE-2026-44326 | 9.4 | NEF | 3gpp-traffic-influence トラフィック誘導API |
free5GCとは何か
free5GCは、台湾の国立陽明交通大学(NYCU)を中心に開発されている、5G携帯ネットワークの「コア」部分を全てオープンソースで実装したプロジェクトです。携帯電話の通信は、基地局(無線アンテナの部分)と、その奥にある「コアネットワーク」と呼ばれる制御システムで成り立っており、ユーザー認証・接続管理・課金・通信品質制御などを担っています。free5GCはこのコアネットワーク側をフルOSSで再現しています。
主な利用シーンは次の通りです。
- 大学・大学院の通信工学研究室で5G動作実験用の教材として導入
- 通信機器ベンダーやスタートアップが自社製品のテスト用に商用シミュレータ代わりに利用
- キャリアの研究開発部門が新機能のPoC環境として運用
- MagmaやOpenAirInterfaceと並ぶOSS 5Gコアの代表として、論文の評価環境に頻繁に登場
- プライベート5Gの試験運用(工場・倉庫・キャンパスネット)の構築基盤として小規模商用利用
3GPP(3rd Generation Partnership Project)の標準仕様に忠実に実装されており、商用5Gコアネットワークと同じプロトコル・APIを話す点が特徴です。これは「テスト・教材として優れている」反面、本物の商用ネットワークと同じ攻撃面を持つことも意味します。今回開示された脆弱性は、まさに3GPP仕様のサービスベース・インタフェース(SBI)と呼ばれるAPI群に関するものです。
日本でも、大学の情報通信系研究室、5G関連スタートアップ、通信キャリアの研究所などでfree5GCの利用は珍しくありません。プライベート5Gの試験運用としてfree5GCを採用しているケースもあり、影響範囲は単なる「研究用OSS」では収まらない構造です。
共通の根本原因:認可ミドルウェアの取り付け漏れ
5件のCVEはすべて、構造的には同じパターンの欠陥でした。3GPP標準が要求するOAuth2のbearer tokenによる認可を、HTTPサーバへルート群(route group)を取り付ける際にミドルウェアとして適用し忘れていた、というものです。
5Gコアネットワークでは、コンポーネント間の通信(NEFがSMFを呼ぶ、SMFがPCFを呼ぶ等)すべてに対し、NRF(Network Repository Function)が発行するOAuth2のbearer tokenによる認可検証が必須です。free5GCのコードベースは個別エンドポイント単位ではなくルートグループ単位で認可ミドルウェアを取り付ける設計でしたが、一部のグループにはミドルウェアが取り付けられておらず、結果としてそのグループ配下のすべてのエンドポイントが、認可ヘッダー無しでも応答する状態になっていました。
同じパターンが5箇所で起きた、ということは、開発時のチェック漏れが構造的だったことを示します。設定ファイルでサービスを「無効化」していても、ルートマウント自体は走るため、攻撃面は閉じられません。これは「設定で無効にしていれば安全」という防御策が無効化される構造でもあります。
5件のCVE詳細
CVE-2026-44327:NEF OAM ルートの認証バイパス(CVSS 10.0)
NEFの運用管理用エンドポイント(/nnef-oam/v1/配下)が、認証ヘッダー無しのGETに対して200 OKを返す問題です。NVD分類はCWE-306(重要な関数の認証欠落)とCWE-862(認可欠落)の組み合わせ。GHSAアドバイザリは「NEFサービスがログ上は『OAuth2設定 NRFから受領: true』と表示しているにもかかわらず、実際の認可ヘッダーは検証していない」状態を実証したと記録しています。現状のOAMハンドラはスタブ実装ですが、将来この経路に運用機能が追加された際に、すべて認証なしで露出する構造的問題が残ります。検証ターゲットはNEFコンテナv4.2.0(コミット5ce35eab)。
CVE-2026-44329:SMF UPI管理ルートの認証バイパス(CVSS 10.0)
SMFのUPI(User Plane Interface)管理ルート群が、OAuth2/bearer token認可ミドルウェア無しでマウントされていた問題です。GHSAアドバイザリは同じSMFインスタンスのOAMルートは401 Unauthorizedを返したのに対し、UPIルートは200 OKを返す差分でこの欠陥を実証しています。攻撃者は次の操作を匿名で実行可能でした。
GET /upi/v1/upNodesLinks:ユーザープレーンノードとリンクのトポロジ情報を匿名で取得POST /upi/v1/upNodesLinks:偽のUPFノードエントリを注入し、攻撃者制御パラメータを与えるDELETE /upi/v1/upNodesLinks/{nodeID}:トポロジエントリを削除
悪用された場合、偽のUPF(User Plane Function)エントリをコアネットワークに注入できます。これは「トポロジ汚染」と呼ばれる攻撃で、その後のUPF選択ロジックを攻撃者が誘導したノードに向けさせ、ネットワークスライス全体のPDUセッション確立を妨害する経路につながります。
CVE-2026-44330:NEF nnef-pfdmanagementルートの認証バイパス(CVSS 10.0)
NEFのnnef-pfdmanagementルート群(GHSAアドバイザリ)が、認可ミドルウェアなしでマウントされていた問題です。コードの場所はNFs/nef/internal/sbi/server.go:56。NVD分類はCWE-863(不正な認可)。攻撃により次が可能でした。
- 機密性:AF(Application Function)が登録したPFD(Packet Flow Description)データを匿名で読み取り、トラフィック分類ポリシー(URL正規表現・アプリケーション識別子)が漏洩
- 完全性:変更通知サブスクリプションを攻撃者制御の宛先に作成、NEFを匿名リクエスト発射台として悪用
- 可用性:正規のサブスクリプションを削除して、PFD更新通知を遮断
CVE-2026-44315:NEF 3gpp-pfd-managementルートの認証バイパス(CVSS 9.4)
NEFが提供する3GPP標準PFD管理APIのルート(GHSAアドバイザリ)が、OAuth2/bearer token認可なしでマウントされていた問題です。攻撃者は偽造したbearer tokenまたは任意のbearer headerでPFD管理トランザクション状態を作成・読み取り・削除できました。設定でサービスを無効化していても、この経路は閉じられないのがCVSS 9.4の重さの理由です。
CVE-2026-44326:NEF 3gpp-traffic-influenceルートの認証バイパス(CVSS 9.4)
NEFのトラフィック誘導APIルート(GHSAアドバイザリ)が、OAuth2/bearer token認可なしでマウントされていた問題です。攻撃者は偽造トークン、あるいは認可ヘッダー自体を欠いた状態で、トラフィック誘導サブスクリプションを操作可能でした。特定グループまたは任意UEのトラフィック誘導を攻撃者の意図する経路に書き換えるため、5Gネットワークスライス上のサービス品質保証(QoS)も含めた根幹を捻じ曲げる経路になります。
攻撃シナリオ:研究室を超えた被害想定
free5GCは「研究用OSS」と分類されることが多いですが、今回の脆弱性が実害につながるシナリオは複数考えられます。
第一に、プライベート5Gの試験運用環境。日本でも工場・倉庫・キャンパスネットワークでプライベート5Gの実証実験が増えており、free5GCをそのコアネットワーク部分に採用する事例があります。SBI(Service-Based Interface)が外部からアクセス可能なネットワーク設計になっている場合、攻撃者は無認証でUPFの注入・削除を行え、工場ライン全体の通信を妨害できます。
第二に、大学・研究機関のテストベッド。学生や研究者が同じネットワーク上で複数のfree5GC環境を運用することは珍しくありません。ある研究室のテスト環境が侵害されると、同じLAN内の他研究室のSBIにも到達できる場合、横展開で複数環境のトポロジを汚染できます。研究データや実験結果に対する信頼性も毀損されます。
第三に、論文評価環境としてのPoC。free5GCを評価環境として論文を書く研究グループは多数あります。脆弱なバージョンで取得したベンチマーク結果に、攻撃者によるトポロジ操作の影響が混入していた可能性は否定できません。今後発表される論文が「v4.2.1以下のfree5GCで取得した結果」と明記している場合、再評価の対象になる可能性があります。
第四に、商用5Gコア(Ericsson、Nokia、Huawei、Mavenir等のベンダー製品)への波及はないものの、free5GCがプロトコル仕様を3GPPに忠実に実装している以上、同種の認可ミドルウェア欠落が他の商用実装にも潜在的に存在する可能性を改めて点検する材料になります。LinZiyuu氏のレポートは、他の5Gコア実装にとっても警鐘になる内容です。
いますぐやるべきこと
1. free5GCをv4.2.2以降にアップデート。 公式リリースページからv4.2.2を取得します。Docker Composeで運用している場合、各NF(NEF、SMF、その他)のコンテナイメージを最新タグに切り替えるのが最短です。修正コミットe23ce97565f285eb99eed153743c62bf4c767c6eと関連プルリク(nef PR#23、smf PR#197)の取り込み状況も確認します。
2. SBIのネットワーク到達性を制限。 修正バージョン適用までの間、NEFやSMFのSBIエンドポイントが社外ネットワーク・キャンパス全体LANから直接到達できる状態になっていないか確認します。kubernetesのNetworkPolicyやDocker内部ネットワーク、ファイアウォール設定で、コアネットワーク内の他のNFからのみアクセス可能な構成に絞り込みます。
3. ログを過去1か月分遡って点検。 認証ヘッダー無しまたは異常なbearer tokenでの/upi/v1/、/3gpp-pfd-management/、/3gpp-traffic-influence/、/nnef-pfdmanagement/、/nnef-oam/へのアクセスがないか確認します。アクセスログがHTTPステータス200で返しているケースは、攻撃成立を示唆します。
4. UPF構成・PFDポリシー・トラフィック誘導サブスクリプションを実機確認。 設定上のはずの状態と、実際にfree5GCに登録されているノードリスト・ポリシー・サブスクリプションの内容が一致しているか実機でクロスチェックします。差分があれば、攻撃者による注入の可能性を疑います。
5. 論文・レポート再現性の見直し。 過去6か月間にfree5GC v4.2.1以下で取得した実験結果については、攻撃者によるトポロジ汚染の可能性を排除しきれないため、安全側に倒すならv4.2.2環境で再実験する判断が必要です。論文公開済みの場合、再現性の補足説明を検討します。
CISA KEVへの登録状況とハブ記事連動
2026年5月28日時点で、CVE-2026-44315/44326/44327/44329/44330はCISAのKnown Exploited Vulnerabilities(KEV)には未登録です。free5GCは商用5Gコアではなく研究・教育・PoC用途中心のOSSのため、CISA KEVの「米連邦機関の運用環境にあるべき製品」とは関心領域が異なります。一方で、プライベート5Gや産業IoT基盤として商用利用が拡大する局面では、本件のような構造的欠陥が攻撃シナリオに組み込まれる可能性は十分にあります。
本サイトでは、攻撃中とCISAが認定したCVEの一覧と修正期限をCISA KEVダッシュボード(日本語版)で随時更新しています。free5GC関連は現時点で対象外ですが、5G関連で過去に登録された商用機器(Ericsson、Cisco、Citrix系のテレコム機器)と並ぶ位置付けで観測していく価値があります。
また、free5GCはGoモジュールで構成されており、OSS依存関係の中で多数のGo製ライブラリを取り込んでいます。OSSサプライチェーン・スキャナーから、free5GCやそのGo依存パッケージの最新CVE状況をまとめて確認できます。
参照元
- ▸ NVD - CVE-2026-44315(NEF 3gpp-pfd-management)
- ▸ NVD - CVE-2026-44326(NEF 3gpp-traffic-influence)
- ▸ NVD - CVE-2026-44327(NEF OAM)
- ▸ NVD - CVE-2026-44329(SMF UPI管理)
- ▸ NVD - CVE-2026-44330(NEF nnef-pfdmanagement)
- ▸ GHSA-cmpj-2x3g-m7g3(CVE-2026-44327)
- ▸ GHSA-3258-qmv8-frp3(CVE-2026-44329)
- ▸ GHSA-rwww-x45w-p52w(CVE-2026-44330)
- ▸ GHSA-5f62-53r8-qrqf(CVE-2026-44315)
- ▸ GHSA-3p28-73q7-45xp(CVE-2026-44326)
- ▸ free5GC 公式サイト
- ▸ free5GC リリース履歴