広告ブロッカーPi-holeに脆弱性、同じネット上の第三者にパスワードなしで管理画面を乗っ取られる恐れ CVE-2026-44693、v6.6.1へ更新を
自宅・社内ネットで広く使われる広告ブロッカーPi-holeの中核エンジンFTLに脆弱性(CVE-2026-44693、CVSS 8.8)。同じネットワーク上の第三者が、管理者の操作中に大量アクセスを送るとセッションIDを盗み、パスワードなしで管理画面を乗っ取れる。DNSの書き換えや通信履歴の閲覧が可能に。影響はv6.0〜v6.6.0、v6.6.1以降へ今すぐ更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
自宅・社内ネットで広く使われる広告ブロッカーPi-holeの中核エンジンFTLに脆弱性(CVE-2026-44693、CVSS 8.8)。同じネットワーク上の第三者が、管理者の操作中に大量アクセスを送るとセッションIDを盗み、パスワードなしで管理画面を乗っ取れる。DNSの書き換えや通信履歴の閲覧が可能に。影響はv6.0〜v6.6.0、v6.6.1以降へ今すぐ更新を。
同じネットワークにつながった第三者に、パスワードなしで管理画面を丸ごと乗っ取られる──そんな脆弱性が、家庭や職場で広く使われる広告・トラッカーブロッカー Pi-hole(パイホール) の中核エンジン「FTL」に見つかりました。番号は CVE-2026-44693、深刻度は CVSS 8.8(High) です。
Pi-holeは、家庭やオフィスのネットワーク全体で広告・追跡・不要な通信先をまとめて遮断する、ネットワークレベルの広告ブロッカーです。Raspberry Piや小型サーバーに入れて使う定番ソフトとして、自宅サーバー(homelab)愛好家から中小企業まで世界中で広く使われています。今回の問題は、その設定を行うWeb管理画面の裏側、利用者のログイン状態(セッション)を管理する仕組みにありました。
具体的には、同じネットワーク上にいる攻撃者が、管理者がWeb画面を操作している隙に大量の同時アクセスを送り込むと、管理者のログイン情報(セッションID)を盗み取り、パスワードを知らないまま管理者として入り込めます。Pi-holeの管理者権限を握られると、ネットワーク全体のDNS(どのサイトにどう接続するかを決める仕組み)を書き換えられ、広告・脅威の遮断を黙って無効化され、家中・社内の通信履歴を覗かれます。すでに修正版が出ており、Pi-hole FTLをv6.6.1以降へ更新すれば塞がります。公式のセキュリティ情報 を確認し、まだ更新していなければ今すぐ適用してください。
Pi-holeとは何か、なぜ管理画面を奪われると家中・社内が危ういのか
Pi-holeは、ネットワークの「DNS(ドメイン名を実際の接続先に変換する電話帳のような仕組み)」の位置に陣取り、広告配信元や追跡サーバー、危険なサイトへの問い合わせをまとめて遮断するソフトです。各端末に個別のアプリを入れなくても、ルーター配下のすべての機器の広告・追跡を一括でブロックできるのが魅力で、Raspberry Piに入れて常時稼働させる使い方が定番です。中核を担うのが、DNS処理と統計を受け持つエンジン「FTL」で、設定はブラウザのWeb管理画面から行います。
ここで効いてくるのが、「Pi-holeはネットワークの通信すべての交通整理をしている関所だ」という点です。すべての端末の名前解決(どのサイトにつなぐか)がPi-holeを通るため、その管理権限を握った相手は、ネットワークの行き先を自由に書き換えられます。たとえば銀行サイトのドメインを偽サイトへ向ける、社内システムへの通信を盗み見る経路に差し替える、といった操作が可能になります。さらに、Pi-holeはどの端末がいつどのドメインに接続したかの問い合わせ履歴をすべて記録しているため、管理画面はそのまま「家庭・社内の行動ログの宝庫」でもあります。
今回の脆弱性は、その関所の入口(Web管理画面のログイン)を、正規のパスワードを使わずに通り抜けられるというものです。守りの中でもとりわけ重い「認証」が、条件次第で素通りされます。Pi-holeは過去にも 自宅ネットワーク向けツールの設定経由の侵入 と同種の問題が指摘されており、家庭・小規模オフィスのネットワークの要であるほど、攻撃の価値も高くなります。
あなたは対象か、バージョンと状況で見分ける
この脆弱性は、Pi-hole FTLを大きく作り替えたv6.0以降に入り込んだものです。使っているバージョンで対象かどうかが決まります。
| Pi-hole FTLのバージョン | このCVEの対象 | 対応 |
|---|---|---|
| v6.0 〜 v6.6.0 | 対象(脆弱) | 至急 v6.6.1以降へ更新 |
| v6.6.1 以降 (最新は v6.6.2) | 対象外(修正済み) | 最新維持でよい |
| v5系(旧版) | 本件は対象外 (別途サポート終了に注意) | v6系への移行を推奨 |
修正版のv6.6.1は 2026年4月24日 に公開されています。注意したいのは、Pi-holeは自動更新ではなく、利用者が手動で pihole -up を実行して更新する点です。「入れっぱなしで放置している」環境は4月の修正を取り込めておらず、今回CVEとして詳細が公開されたことで、未更新のまま残っている v6.0〜v6.6.0 が狙われやすくなります。攻撃の前提は「攻撃者が同じネットワークにいて、かつ管理者がWebUIを操作中」であることなので、来訪者や不特定多数が乗り入れるネットワークほどリスクが上がります。
管理者がログインしている隙に、同じネットの誰かが鍵を抜き取る
この脆弱性を踏む相手を描いてみます。条件は「攻撃者が同じネットワークにいて、管理者がWeb画面を操作している瞬間に重なること」。狙うのは遠い国の誰かではなく、自宅のWi-Fiに招いた来訪者や同居人、社内LANに座る不満を抱えた従業員、すでに1台のスマホやIoT機器に潜り込んで横移動を狙うマルウェアです。欲しいのは、Pi-holeの管理者になりすますためのセッションID、そこから握れるネットワーク全体のDNS制御、そして家中・社内のどの端末がどのサイトを見たかという行動履歴です。
やることは、管理者がWeb画面を触っている隙に公開ページへ大量の同時アクセスを浴びせるだけ。本来は管理者だけに渡るログイン用クッキー(セッションID)を、自分のリクエストへの応答として読み取り、パスワードもログインもなしに管理者の鍵を手に入れます。鍵を抜かれた先は深刻です。管理者はDNSの設定を自由に変えられ、特定のドメインを偽サイトへ向ける、広告・脅威の遮断を黙って切る、問い合わせ履歴を丸ごと覗く、といった操作ができます。過去には設定経由でサーバーごと乗っ取られた例もあり、管理権限の奪取は次の侵入の足がかりにもなります。
守る側から見て厄介なのは、これがネットワーク内部から、特別な権限もなしに成立する点です。来訪者や不特定多数が乗り入れる回線ほど、攻撃の前提は満たされやすくなります。
CVSS 8.8という数字は、技術的な深刻度の高さを示すラベルにすぎません。Pi-holeを家庭や小さなオフィスのネットワークの番人として信頼してきた人にとって本当に怖いのは、その番人が、同じ部屋・同じ回線にいる誰かにパスワードなしで成り代わられ、通信の交通整理を裏から握られることです。守りの中心を奪われれば、内側の端末すべてが攻撃者の射程に入ります。
CVE-2026-44693を技術的に見る、どこで何が起きるのか
CVE-2026-44693 は、Pi-hole FTLに組み込まれたWebサーバー(CivetWeb)のHTTPセッション管理に潜む競合状態(CWE-362、レースコンディション)です。原因は、v6.0での大規模な作り替えの際に導入された応答ヘッダー用のグローバル変数 pi_hole_extra_headers が、50個のCivetWeb作業スレッドから排他制御なしで共有されていたことにあります。複数スレッドが同時に同じバッファを読み書きするため、あるスレッドが組み立てた管理者向けの Set-Cookie ヘッダーを、別のリクエストを処理するスレッドが読み出してしまう状態が生まれました。
CVSSのベクトルは AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H です。認証は不要(PR:N)で、機密性・完全性・可用性のすべてに深刻な影響(C:H/I:H/A:H)が及びます。成立には「管理者がWeb画面を操作中であること(UI:R)」と、有利なタイミングを作るための同時リクエストの集中が必要ですが、いずれも攻撃者が能動的に仕掛けられる条件です。公式アドバイザリ(GHSA-9ff5-f3v5-2xc7) によると、本件は研究者 T0X1Cx によって報告され、修正版のv6.6.1では、共有していたバッファをスレッドごとに独立させ(スレッドローカル化)、セッション管理にミューテックス(排他制御)を加えることで競合をなくしています。
影響と対策 早見表
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-44693(CVSS 8.8 High) |
| 対象 | Pi-hole FTL v6.0 〜 v6.6.0 |
| 前提 | 攻撃者が同じネットワーク上にいる +管理者がWebUIを操作中 |
| 影響 | パスワードなしで 管理画面を乗っ取り(全権限) |
| 修正 | v6.6.1で修正済み (最新は v6.6.2) |
記事公開時点で、本CVEは CISA KEV(実際に攻撃が確認された脆弱性カタログ) には登録されておらず、実際の悪用報告も確認されていません。ただし、修正自体は4月に公開済みで、CVEとして詳細が公になった今、未更新の環境ほど危険です。Pi-holeのDNSエンジンFTLは 広く使われるdnsmasqをベースにした製品 で、家庭・小規模ネットワークの土台として動いているケースが多く、放置されやすいのが実情です。
利用者がいま取るべき動き
優先順に整理します。Pi-holeを運用しているすべての家庭・組織が対象です。
1. すぐにPi-holeを更新する。本筋の対応はこれだけです。Pi-holeの管理画面またはコマンドで pihole -up を実行し、FTLを v6.6.1以降(できれば最新のv6.6.2) に上げてください。自動では上がらないため、しばらく更新していない環境は今すぐ確認を。
2. Web管理画面の公開範囲を絞る。攻撃は「同じネットワークから管理画面に大量アクセスできること」が前提です。Pi-holeのWeb管理画面(ポート80/443)をインターネットに直接公開している場合は、ただちにやめ、信頼できる内部ネットワークやVPN経由のみに限定してください。
3. ネットワークの来訪者を分離する。来客用Wi-Fiやスマート家電を、管理機器と同じネットワークに同居させない構成(ゲストネットワークやVLANによる分離)にしておくと、「同じネットワークにいる攻撃者」という前提自体を崩せます。
4. 管理者パスワードの再設定を検討。万一すでにセッションを盗まれていた可能性が拭えない環境では、更新後に管理者パスワードを変更し、既存のログインセッションを無効化しておくと安全です。心当たりのない設定変更がないかも併せて確認しましょう。
タイムライン
| 日付 | 出来事 |
|---|---|
| v6.0 | FTLのWebサーバー(CivetWeb)の大規模な作り替えで、この競合状態が混入 |
| 2026年4月24日 | 修正版 FTL v6.6.1 を公開(バッファのスレッドローカル化+排他制御) |
| 2026年6月11日 | NVDにCVE-2026-44693(CVSS 8.8)が登録され、詳細が公開 |
まとめ、ネットワークの番人が、同じ部屋の誰かに成り代わられる
今回のCVE-2026-44693で浮き彫りになったのは、ネットワーク全体の通信を整理する「番人」であるPi-holeの管理画面が、同じネットワークにいる相手にパスワードなしで奪われうるという構図です。原因は、Webサーバーを大きく作り替えた際に、複数スレッドで共有したバッファの排他制御が抜けていたという、地味だが致命的な実装ミスでした。番人の権限を握られれば、その内側のすべての端末の行き先と通信履歴が攻撃者の手に渡ります。
やるべきことは明快です。Pi-holeをv6.6.1以降(最新はv6.6.2)へ今すぐ更新すること、Web管理画面を外部やゲストネットワークから隔離すること、心当たりのない設定変更がないか点検すること。修正は4月に出ているにもかかわらず、手動更新ゆえに放置されがちなのがPi-holeの泣きどころです。CVEとして詳細が公開された今こそ、しばらく触っていない自宅・社内のPi-holeを確認するタイミングです。