遠隔操作ソフト「UltraVNC」に重大な脆弱性3件、中継サーバーがパスワードなしで乗っ取られる恐れ CVE-2026-7840ほか、最新1.8.2.4へ更新を
離れたパソコンを操作する無料ソフト「UltraVNC」に重大な脆弱性が3件見つかった。とくに接続を中継するサーバーは、細工した通信を送るだけでパスワードなしに乗っ取られる恐れがある(CVE-2026-7840、深刻度9.8)。わなのサーバーに接続した利用者側が乗っ取られる欠陥も。影響は1.8.2.2まで、最新1.8.2.4への更新を。
目次
離れたパソコンを操作する無料ソフト「UltraVNC」に重大な脆弱性が3件見つかった。とくに接続を中継するサーバーは、細工した通信を送るだけでパスワードなしに乗っ取られる恐れがある(CVE-2026-7840、深刻度9.8)。わなのサーバーに接続した利用者側が乗っ取られる欠陥も。影響は1.8.2.2まで、最新1.8.2.4への更新を。
離れた場所にあるパソコンの画面を、手元のパソコンからそのまま操作できる無料ソフト「UltraVNC(ウルトラVNC)」に、深刻な脆弱性が3件見つかりました。とくに危ないのが、複数の接続をまとめて中継する「リピーター」というサーバーが、パスワードなしで乗っ取られてしまう欠陥です。共通脆弱性番号は CVE-2026-7840 ほか2件で、最も深刻なものは深刻度 CVSS 9.8(10点満点)に達します。いずれも影響を受けるのはバージョン 1.8.2.2 までで、開発元は最新の 1.8.2.4 で修正しています。
UltraVNCは、ヘルプデスクや保守の現場で「遠くのPCを画面ごと操作する」ために古くから使われてきたソフトです。今回の3件は、接続を中継するサーバーの乗っ取り、初期パスワードの使い回しによる不正ログイン、そして画面を見る側のソフトがわなのサーバーで乗っ取られる欠陥という、性質の異なる3つの穴です。開発元のUltraVNC公式サイトとGitHub上の開発リポジトリで情報とバージョンが公開されています。
| 脆弱性番号 | 対象と内容 | 深刻度 |
|---|---|---|
| CVE-2026-7840 | 中継サーバー(リピーター)の管理画面 細工した通信でパスワードなしに乗っ取り | 9.8(最大級) |
| CVE-2026-7839 | 中継サーバーの管理画面 初期パスワードの使い回しで管理者ログイン | 9.1 |
| CVE-2026-7838 | 画面を見る側のソフト(ビューア) わなのサーバーに接続すると乗っ取り | 8.8 |
※深刻度(CVSS)は10点満点で危険度を示す指標です。今回の3件は現時点で、米政府機関CISAが「実際に攻撃へ使われた」と確認する悪用済みリスト(KEV)には登録されておらず、悪用の報告も出ていません。ただし修正が公開された後は攻撃者が中身を解析しやすくなるため、早めの更新が安全です。
この欠陥は誰に、どんな被害をもたらすのか
この穴を狙うのは、インターネットに公開された遠隔操作の中継サーバーを、機械的に探し回って侵入の足がかりにする攻撃者です。UltraVNCのリピーターは、社外や別拠点からでもつなげるようインターネットに面して置かれることが多く、しかもその管理画面は初期状態で決まったポート(既定はウェブでおなじみの80番)で待ち受けています。攻撃者にとっては見つけやすく、狙いやすい入口です。
攻撃者は、細工した通信を一度送りつけるだけで、パスワードも入力せずに中継サーバーを乗っ取れます。別の欠陥では、初期設定のまま使われている「adminadmi2」という共通の初期パスワードで管理画面にそのまま入り込むこともできます。リピーターは複数の遠隔接続を束ねて中継する要の設備なので、ここを取られると、そこを通るすべての接続を盗み見たり、別のPCへの踏み台にしたりできてしまいます。
3件目は攻撃の向きが逆です。攻撃者がわなを仕掛けたVNCサーバーを用意し、そこへ被害者が「見る側」のソフトで接続した瞬間に、被害者自身のパソコンが乗っ取られます。通信を途中で盗み見できる立場(同じ社内ネットワークや公衆Wi-Fiなど)にいる攻撃者が、正規のやり取りに割り込んで発動させることもできます。遠隔サポートを「する側」だけでなく「受ける側」「つなぎに行く側」も危険にさらされる点が、今回まとめて対処すべき理由です。過去には別の画面共有ライブラリでも、悪意あるサーバーに接続するだけでPCを乗っ取られる欠陥が起きており、同じ落とし穴が繰り返されています。
UltraVNCとは何か、自分は対象なのか
UltraVNCは、Windows向けの無料の遠隔操作ソフトです。相手のパソコンの画面をそのまま手元に映し、マウスやキーボードで操作したり、ファイルを送ったりできます。TeamViewerやAnyDeskと同じ「相手のPCを遠隔で操作する」用途にあたり、社内のヘルプデスクや保守作業で長く使われてきました。仕組みとしては、操作される側で動く「サーバー」、操作する側で動く「ビューア」、そして両者の間に入って接続を中継する「リピーター」の3つの部品からできています。
重要なのは、3件すべてが同じ部品の問題ではないという点です。どの部品を、どう使っているかによって、影響を受けるかどうかが変わります。次の早見表で自分の状況を確認してください。
| 対象の部品 | 脆弱性 | 危ない使い方 |
|---|---|---|
| 中継サーバー (リピーター) | CVE-2026-7840 CVE-2026-7839 | 管理画面をインターネットに公開している 初期パスワードのまま使っている |
| 見る側のソフト (ビューア) | CVE-2026-7838 | 信頼できない相手のサーバーに接続する 暗号化されない通信を外でやり取りする |
リピーターを立てていない個人利用なら、中継サーバーの2件(CVE-2026-7840・CVE-2026-7839)の直接の対象ではありません。それでも、遠隔接続に「見る側」のソフトを使うなら3件目(CVE-2026-7838)の影響を受けます。自分のバージョンはUltraVNCの画面で確認でき、1.8.2.2 以前ならすべて更新の対象です。条件の確認に迷うくらいなら、まず最新版へ上げてしまうのが確実です。
3つの脆弱性の中身
CVE-2026-7840:中継サーバーがパスワードなしで乗っ取られる(深刻度9.8)
リピーターには、設定を確認・変更するためのウェブ管理画面(HTTPの管理サーバー、既定でTCP 80番)が付いています。この管理サーバーは、届いたリクエストのアドレス部分(URI)を、あらかじめ用意した1000バイトの固定サイズの箱にコピーします。ところが、コピーする前に長さを確かめる処理がありませんでした。受信側は15万バイト近い長いアドレスまで受け付けてしまうため、攻撃者が1500バイトを超える長いアドレスを送ると、箱からあふれた分が隣のメモリ領域を上書きします。これは「境界を越えた書き込み」(CWE-787)と呼ばれるメモリ破壊で、うまく突かれるとリピーターが動いているコンピューター上で攻撃者の狙ったプログラムが実行されます。しかもこの処理はログイン確認より前に通るため、パスワードは一切要りません。3件のなかで最も危険な穴です。
CVE-2026-7839:初期パスワードの使い回しで管理者ログイン(深刻度9.1)
同じリピーターの管理サーバーには、もう一つの問題があります。設定ファイル(settings2.txt)がまだ無い初回起動時、管理者パスワードが「adminadmi2」という製品共通の決め打ちの値で初期化されます(分類は「ハードコードされた認証情報」=CWE-798)。この初期値のまま運用していると、その値を知っている攻撃者は誰でも管理者として入り込めます。おまけに、パスワードを何度も間違えても回数制限やアカウントの一時ロックがかからないため、総当たりでも破られやすい状態でした。管理者として入られると、どの接続を許すかといったアクセス制御のルールや、進行中のセッションの一覧まで攻撃者の手に落ちます。
CVE-2026-7838:わなのサーバーに接続した側が乗っ取られる(深刻度8.8)
3件目は「見る側」のソフト(ビューア)の欠陥です。画面のやり取りに使うデータの長さ計算で数値があふれる不具合(整数オーバーフロー=CWE-190)があり、その結果としてメモリ破壊(ヒープバッファオーバーフロー)が起きます。攻撃者がわなを仕掛けたVNCサーバーを用意し、そこへ被害者がビューアで接続すると発動します。あるいは、正規のサーバーとのやり取りを途中で盗み見・改ざんできる立場にいる攻撃者(中間者攻撃)が、通信に細工して発動させることもできます。成立すると、ビューアを動かしている利用者の権限で攻撃者のプログラムが実行されます。この攻撃には利用者がサーバーへ接続するという操作が必要ですが、遠隔サポートで知らない相手のサーバーへつなぐ場面は珍しくありません。
時系列と修正状況
| 時期 | 出来事 |
|---|---|
| 〜1.8.2.2 | 3件すべての影響を受けるバージョン |
| 2026年6月 | 1.8.2.3・1.8.2.4を公開 「リピーターのセキュリティ修正」を明記 |
| 2026年7月1日 | 3件の脆弱性番号が公開データベースに登録 |
開発元のバージョン変更履歴では、2026年6月に公開された 1.8.2.3 と 1.8.2.4 で「リピーターのセキュリティ修正」が行われたと記載されています。現時点の最新版は 1.8.2.4 で、ここへ更新すれば3件とも解消できます。
いま何をすべきか
最優先は最新版 1.8.2.4 への更新です。UltraVNCの「サーバー」「ビューア」「リピーター」のいずれを使っている場合も、最新版へ上げれば今回の3件はふさがります。中継サーバー(リピーター)を単体でインストールして運用している場合は、そのリピーターも忘れずに最新の修正済みビルドへ入れ替えてください。
すぐに更新できない場合の暫定策として、次の3点が有効です。第一に、リピーターの管理画面(既定のポート80)をインターネットに直接さらさないこと。社内やVPNの内側からしか届かないよう、接続元を絞ります。第二に、初期パスワード「adminadmi2」を必ず別の強いものへ変更すること。CVE-2026-7839はこれだけでも直接の悪用を防げます。第三に、信頼できない相手のVNCサーバーには接続しないこと。見る側のソフトの欠陥(CVE-2026-7838)は、あやしいサーバーへつながないことでリスクを大きく減らせます。いずれも根本対策ではないため、最終的には更新まで済ませてください。
まとめ
UltraVNCで見つかった3件は、いずれもバージョン 1.8.2.2 までが対象で、最新版 1.8.2.4 で修正済みです。とくに接続を中継するリピーターは、パスワードなしで乗っ取られる(CVE-2026-7840)、初期パスワードのまま入られる(CVE-2026-7839)という深刻な穴を抱えており、インターネットに公開している場合はとりわけ急ぎの対応が必要です。見る側のソフトの欠陥(CVE-2026-7838)は、わなのサーバーに接続した利用者側が狙われます。
現時点で実際の悪用は報告されていませんが、修正が出そろった今は攻撃者が穴の中身を解析しやすい時期でもあります。遠隔操作ツールは一度侵入されると被害が面で広がりやすいだけに、最新版への更新と、公開範囲・初期パスワードの見直しを早めに済ませておくのが安全です。
よくある質問
UltraVNCを使っていますが、必ず危険なのですか?
バージョン 1.8.2.2 以前を使っていれば、いずれかの脆弱性の影響を受けます。とくに中継サーバー(リピーター)をインターネットに公開している場合は、パスワードなしで乗っ取られる恐れがあり危険度が高い状態です。リピーターを使わず個人で画面を見るだけの利用でも、見る側のソフトの欠陥(CVE-2026-7838)は対象になります。最新版 1.8.2.4 へ更新してください。
どのバージョンに上げればよいですか?
最新版の 1.8.2.4 へ更新してください。開発元のバージョン変更履歴によれば、2026年6月に公開された 1.8.2.3 と 1.8.2.4 でリピーターのセキュリティ修正が行われています。影響を受けるのは 1.8.2.2 までのバージョンです。
すぐに更新できません。応急処置はありますか?
リピーターの管理画面(既定のポート80)をインターネットに直接公開せず、社内やVPNの内側からのみ届くようにアクセス元を制限してください。あわせて初期パスワード「adminadmi2」を強いものへ変更すること、信頼できないVNCサーバーには接続しないことが有効です。いずれも一時しのぎのため、最終的には最新版への更新を済ませてください。
すでに悪用されていますか?
2026年7月1日時点で、実際の攻撃に使われたという報告や、米CISAの悪用済みリスト(KEV)への登録はありません。ただし修正が公開された後は、攻撃者が差分から穴の詳細を割り出しやすくなります。悪用が広がる前に更新しておくのが安全です。
更新履歴
- ▸2026年7月1日:初版公開(3件の脆弱性番号の公開、および開発元のバージョン変更履歴を受けて作成)。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go