Plex監視ツールTautulliに乗っ取りの穴 CVE-2026-43986ほか、即更新を

自宅やオフィスに置いた動画・写真サーバー「Plex（プレックス）」の視聴状況を見張るための人気ツール「Tautulli（タウチュリー）」に、深刻度が最高ランクに近い「9.9」を含む5件の脆弱性が見つかりました。中心となるのがCVE-2026-43986で、米国の脆弱性データベース（NVD）が10点満点中9.9と評価しています。

怖いのは、いくつかの欠陥がログインしていない相手からでも届く位置にあることです。単体でも危険ですが、これらを組み合わせると、Tautulliの管理画面を乗っ取られたり、サーバーの中で攻撃者のプログラムを動かされたりする恐れがあります。開発元はすでに修正版Tautulli v2.17.1を2026年5月4日に公開しており、これより古いバージョン（2.16.1以前）を使っている人は早めの更新が必要です。

何が起きるのか、まず一言で

今回の問題をひとことでまとめると、「来客用の入口から、家の奥まで通り抜けられる経路がいくつも残っていた」という話です。Tautulliには、来客レベルの権限しか持たない「ゲストユーザー」でも触れる窓口や、ログインせずに叩ける窓口があります。本来そこから先には進めないはずでしたが、入力のチェックや本人確認が抜けていたために、攻撃者がその隙間を使って一段ずつ奥へ入り込めてしまいました。

具体的には、サーバーに身代わりで通信させて社内・家庭内のネットワークを覗き見る攻撃（CVE-2026-43986）、管理者の画面の中で攻撃者のスクリプトを走らせる攻撃（CVE-2026-43984）、管理者をだまして設定を書き換えさせる攻撃（CVE-2026-43985）、そしてサーバー上で任意のプログラムを実行させる攻撃（CVE-2026-41065）などが、ひとつのバージョンにまとめて含まれていました。最後の任意コード実行に至れば、サーバーの乗っ取りに直結します。

そもそもPlexとTautulliは何をする道具なのか

Plexは、自分が持っている映画・ドラマ・音楽・写真を、自宅のパソコンやNAS（ネットワーク対応の保存機）にためておき、スマホやテレビからNetflixのような見た目で再生できるようにするソフトです。家庭の「自前の動画配信サーバー」として、世界中の動画好き・自宅サーバー好きに広く使われています。

そのPlexに後付けする「視聴記録ノート」にあたるのが、今回問題になったTautulliです。誰が・いつ・何を再生したか、回線の混み具合、よく見られている作品などをグラフで見せてくれるほか、新着のお知らせメールを家族に配ったり、視聴があったときにスマホへ通知を飛ばしたりできます。無料のオープンソースソフトで、Plexを本格的に使う人ほど一緒に入れている定番ツールです。

問題は、このTautulliが置かれている場所です。Plexの利用統計を取るために、TautulliはPlexのアカウント情報やアクセス用の合鍵（トークン）を手元に持ち、サーバー本体や家庭内ネットワークの内側で動いています。外出先からスマホでグラフを見たい人は、Tautulliの画面をインターネットに公開していることも珍しくありません。「家の中の事情をよく知っている管理ツールを、外から触れる場所に置いている」——この構図が、今回の脆弱性の影響を大きくしています。

概要を1分で

細かい説明に入る前に、要点を表にまとめます。確認すべき点はシンプルで、使っているTautulliのバージョンが2.17.1より古いかどうか、そしてその画面をインターネットに公開しているかどうかの2つです。

自宅サーバーやオープンソースの自己ホスト型ツールに複数の穴が同時に見つかるのは、これが初めてではありません。家庭内ネットワークの見張り役だったPi.Alertの認証なしRCEや、社内ログイン基盤authentikの複数脆弱性も同じ系統で、「守るための道具が、逆に侵入の入口になる」という共通点があります。今回のTautulliもその一例です。

視聴記録ノートが侵入の足場に変わるとき、家から出ていくもの

「9.9」という数字を見ても、自宅サーバーの管理ツールが他人事に感じられるかもしれないので、この穴を実際に誰が何のために狙うのかを先に描いておきます。Tautulliの画面は、家庭内の事情をよく知る案内人のようなものです。その案内人を外から操れるとなれば、興味を持つ人間ははっきりしています。

狙ってくるのは、インターネットを四六時中スキャンして無防備な管理画面を探し回る自動化ボットの運用者、無料で観られる他人のPlexサーバーのリストを売り買いする海賊版コミュニティの住人、そして同じ家のWi-Fiにいる居候や別れた同居人です。彼らが欲しがるのは抽象的な「個人情報」ではありません。Plexのログイン情報とサーバー用の合鍵、家族の写真や自分で取り込んだ蔵書がどのフォルダに置いてあるかという地図、同じネットワークにつながったNASの中の確定申告書類や年賀状の住所録、そしてルーターの管理パスワードまで、具体的な中身です。本人確認の抜けた窓口に手を入れられた瞬間、それまで家の中だけにあったこれらの情報が、外の相手の手元へ流れ出します。

技術的に見ると、今回の連鎖はとくに相性が悪い組み合わせです。身代わり通信の穴（SSRF）は、Tautulliのサーバーに「内側からしか見えないはずの機器」へアクセスさせる足場になります。攻撃者は自分のパソコンからは届かないルーターの設定画面やNASの管理ページを、Tautulli経由で叩けるようになるわけです。さらに任意コード実行の穴（CVE-2026-41065）を使えば、攻撃者が用意した共有フォルダにある悪意あるテンプレートを読み込ませて、サーバーの中で直接プログラムを走らせられます。入口は「視聴グラフを見せるだけ」の地味なツールでも、出口は家庭内ネットワーク全体です。

「CVSS 9.9」というラベルは、技術的な深刻度の天井を示しているだけです。自宅でPlexを回している人にとって本当に失われるのは、何年もかけて集めた映像コレクションへのアクセス、家族の写真が詰まったストレージの安全、そして「自分のサーバーは自分が握っている」という前提そのものです。数字よりも、その案内人の鍵を他人に渡さないことのほうが、ずっと切実なはずです。

5件の脆弱性、それぞれ何が危ないのか

v2.17.1のリリースノートに記載された5件を、危険度の高い順に解説します。それぞれ単体でも問題ですが、組み合わせると被害が大きくなる関係にあります。

CVE-2026-43986：サーバーに身代わり通信をさせる穴（深刻度9.9）

5件のなかで最も深刻なのがこれです。正式な分類はCWE-918（サーバーサイド・リクエスト・フォージェリ、SSRF）。攻撃者がサーバーに「攻撃者の指定した場所へ通信しに行かせる」タイプの欠陥です。Tautulliは外部画像を扱う際に、その画像のアドレスを内部の対応表に記録します。来客レベルのゲストユーザーが、この対応表に悪意ある外部アドレスを仕込んでおき、本人確認のいらない別の窓口を叩くと、Tautulliがそのアドレスへ通信を始めてしまいます。本来はログインが必要だったSSRFが、ログインなしで成立する形に化けるのが、9.9という高い評価の理由です。修正では「外部画像のハッシュ値を保存しない」よう変更されました。

CVE-2026-41065：お知らせメール機能から任意コード実行（深刻度8.9）

Tautulliには家族向けに新着のお知らせメール（ニュースレター）を配る機能があり、その見た目を自作のテンプレートで差し替えられます。問題は、このテンプレートの置き場所として、攻撃者が用意した外部の共有フォルダ（SMB共有）を指定できてしまった点です。そこに悪意あるMakoテンプレートを置いておくと、Tautulliがそれを読み込んだ瞬間にサーバー上でプログラムが実行されます。NVDの解説によると、初期設定が終わっていない入れたばかりのサーバーでは、ログインなしでこの攻撃が成立します。入口の検証不足が任意コード実行に化ける構図は、AI開発ツールLangflowの認証なしRCEやファイル共有Sambaの認証なしRCEでも繰り返し見てきたものです。

CVE-2026-43984：管理者の画面の中でスクリプトを走らせる穴（深刻度8.9）

分類はCWE-79（クロスサイト・スクリプティング、XSS）。Webページに攻撃者のスクリプトを忍ばせ、それを別の人のブラウザで実行させる古典的な手口です。Tautulliには画面側のエラーを記録する窓口（log_js_errors）があり、ここに来客レベルのゲストが好きな文字列を流し込めました。その文字列は加工されないまま記録に残り、管理者が記録閲覧画面を開いたときに、攻撃者のスクリプトがそのまま動いてしまいます。管理者の権限でスクリプトが走るため、設定の改ざんやセッションの乗っ取りにつながります。修正では記録に書き込む内容を無害化するよう改められました。

CVE-2026-43985：管理者をだまして設定を書き換えさせる穴（深刻度8.8）

分類はCWE-352（クロスサイト・リクエスト・フォージェリ、CSRF）。ログイン中の管理者を罠サイトへ誘導し、本人の知らないうちに操作を実行させる攻撃です。Tautulliの設定変更窓口（configUpdate）には、こうした成りすましを防ぐ仕組み（CSRFトークン）が欠けており、通信方式の縛りも緩いままでした。そのため管理者が罠ページを開くだけで、ログイン情報を含む設定を勝手に書き換えられ、管理画面を丸ごと奪われる恐れがありました。修正ではトークンの追加と、設定変更をPOST方式に限定する対策が入りました。

CVE-2026-40605：保存ファイルを消せる経路（パストラバーサル）

分類はCWE-22（パストラバーサル）。本来アクセスできない上位フォルダへ、「../」のような相対パスを使ってさかのぼる手口です。Tautulliのキャッシュ削除機能にこの抜け道があり、想定外の場所のファイルを削除できる恐れがありました。データの破壊や、不安定化を招くタイプの欠陥です。これも他の4件と同じくv2.17.1で塞がれています。

なぜまとめて見つかったのか、技術的に見ると

5件に共通するのは、「外から渡された値を、十分に確かめないまま内部で使ってしまった」という根っこです。身代わり通信の穴は外部アドレスを、任意コード実行の穴はテンプレートの置き場所を、画面内スクリプト実行の穴はエラー記録の中身を、いずれも来客レベルの相手が指定できる入力として受け取り、検証を挟まずに処理に流していました。設定書き換えの穴は逆に、操作の出どころを確かめる仕組みが足りていませんでした。入力の確認と、本人の確認。この2つの基本がところどころで抜けていた、という整理になります。

怖いのは、これらが別々の穴でありながら、つなげると一本の侵入経路になる点です。たとえば、本人確認のいらない窓口（SSRF）で内部ネットワークの様子を探り、ゲスト権限で記録にスクリプトを仕込み（XSS）、管理者がそれを開いた隙に設定を書き換え（CSRF）、最後にお知らせメール機能から任意コードを実行する（RCE）——という流れが、理屈の上では成立します。1つひとつは「ゲストにしかできない」「管理者の操作が必要」といった条件付きでも、組み合わさると条件が埋め合わされてしまうのです。実証コード（PoC）は2026年6月5日時点で公開されていませんが、修正内容から手口は推測しやすく、油断はできません。

こうした「自己ホスト型の便利ツールに、認証や認可の穴がまとめて見つかる」事例は最近とくに目立ちます。盗まれた合鍵や設定が、別のシステムへの侵入の踏み台に転用されていく流れは、オープンソース部品を経由した攻撃の連鎖とも地続きです。ログインまわりの作り込みが甘いまま公開されてしまう問題は、解析ツールJupyterのログイン画面の不備やシングルサインオン基盤Casdoorの認証回避、問い合わせ管理OTRSの認可回避でも続いており、Tautulliもその列に並びます。

影響を受けるバージョンと、修正の状況

影響を受けるのはTautulli v2.17.1より前のバージョン（2.16.1以前）です。5件すべての修正が、2026年5月4日公開のv2.17.1に一括で入っています。なお、これらのCVE番号がNVDで公開されたのは2026年6月4日で、修正版の配布から少し遅れて脆弱性情報が表に出た形です。すでに修正版が出ているため、対応はシンプルで「最新版に上げる」だけです。

TautulliはGitHubのリリースページから最新版を入手できます。Dockerで動かしている場合はイメージを最新の安定版（latestタグ）に更新して再起動、手動で入れている場合はアプリ内の更新機能か、git pullで本体を更新してください。配布元が同じなので、どの入れ方でもv2.17.1以降になっていれば5件すべてが塞がれます。

今すぐやるべきこと

最優先は、Tautulliをv2.17.1以降に更新することです。これで5件すべてが塞がります。すぐに更新できない事情がある場合の応急処置として、Tautulliの画面をインターネットから直接触れない位置に下げてください。具体的には、外部公開しているなら一旦止め、家庭内・社内ネットワークの内側からのみアクセスできるよう、ルーターのポート開放を閉じる、もしくはVPN越しやリバースプロキシの認証越しに限定します。本人確認のいらない窓口が問題の中心なので、そもそも外から窓口に触れさせないことが、そのまま被害確率を下げます。

あわせて、すでに踏まれていないかの点検もしておくと安心です。Tautulliの設定（とくに通知やニュースレターのテンプレート置き場、登録メールアドレスなど）に見覚えのない変更がないか、管理画面のユーザー一覧に身に覚えのないアカウントがないかを確認します。万一悪用されていた場合に備え、Plexのアカウントのパスワード変更と、Tautulliが握っているPlexのアクセストークンの再発行まで行えば、盗まれた合鍵を無効化できます。秘密の合鍵が漏れたあとの後追いがいかに難しいかは、家庭内ネットワーク監視ツールPi.Alertの事例でも触れたとおりです。本脆弱性は2026年6月5日時点でCISAの「悪用が確認された脆弱性カタログ（KEV）」には登録されていませんが、登録を待つ理由はありません。

自分の環境の危険度チェック

どれくらい急いで対応すべきかを素早く見極めるための観点を、危険度の高い順に並べます。更新作業の優先度を決める助けにしてください。

注意したいのは、「家の中だけで使っているから安全」とは言い切れない点です。画面内スクリプト実行（XSS）や設定書き換え（CSRF）の穴は、管理者本人が悪意あるページを開くだけで成立するため、外部公開していなくても罠リンクを踏めば被害が起こり得ます。影響バージョンを動かしている限り、公開・非公開にかかわらず更新は必要です。とくに入れたばかりで初期設定が終わっていないサーバーは、認証なしの任意コード実行の対象になるため、セットアップを早く完了させるか、それまで外から触れさせないようにしてください。

これまでの経緯

修正版の公開から脆弱性情報の公表までの流れを時系列で整理します。修正が先に配られ、利用者が更新する時間を確保したうえでCVE番号が公開される、という順序が取られています。

← スワイプで移動

よくある質問

Q. Plexは使っていますが、Tautulliは入れていません。影響はありますか？

A. 今回の脆弱性はTautulli側の問題なので、Tautulliを入れていなければ直接の影響はありません。Plex本体の脆弱性ではない点に注意してください。ただしPlexを公開している環境では、Tautulliに限らず後付けの管理ツールが思わぬ入口になることがあるため、何を外から触れる状態にしているかを一度棚卸ししておくと安心です。

Q. 家のネットワークの中だけで使っているなら安全ですか？

A. 「最も危険」ではなくなりますが、安全とは言い切れません。画面内スクリプト実行（XSS）や設定書き換え（CSRF）の穴は、管理者本人が外部の罠ページを開くだけで成立します。外部公開していなくても、罠リンクを踏めば被害が起こり得るため、影響バージョンを使っているなら更新は必要です。

Q. すぐに更新できません。最低限やるべきことは？

A. Tautulliの画面をインターネットから直接触れない位置に下げるのが最優先です。外部公開しているなら一旦止め、家庭内ネットワークやVPN越し、認証付きのリバースプロキシ越しに限定してください。あわせて設定やユーザー一覧に見覚えのない変更がないか点検します。これは時間稼ぎであり、根本対策はv2.17.1以降への更新です。

Q. 入れたばかりのサーバーが一番危ないと聞きました。なぜですか？

A. お知らせメール機能の任意コード実行（CVE-2026-41065）は、初期設定が完了していない入れたてのサーバーでは、ログインなしで成立するとNVDが説明しているためです。セットアップ途中で外から触れる状態のまま放置すると、もっとも被害が起きやすくなります。導入する際はネットワークの内側で初期設定を済ませ、最初からv2.17.1以降を入れるのが安全です。

参照元

• ▸ Tautulli v2.17.1 リリースノート（セキュリティ修正一覧）（2026年5月4日）
• ▸ NVD - CVE-2026-43986 Detail（SSRF・深刻度9.9）
• ▸ NVD - CVE-2026-41065 Detail（ニュースレター任意コード実行）
• ▸ NVD - CVE-2026-43984 Detail（XSS）
• ▸ NVD - CVE-2026-43985 Detail（CSRF）
• ▸ NVD - CVE-2026-40605 Detail（パストラバーサル）
• ▸ Tautulli 公式リポジトリ（GitHub）
• ▸ Plex 公式サイト