トップ/記事一覧/VMwareのロードバランサーに乗っ取りの脆弱性 CVE-2026-47865ほか、更新を
vmware-avi-load-balancer-cve-cover-ja

VMwareのロードバランサーに乗っ取りの脆弱性 CVE-2026-47865ほか、更新を

多くの企業がサーバーの手前に置くVMwareの「Avi Load Balancer(ロードバランサー)」に、ログインなしで管理機能を乗っ取れる脆弱性CVE-2026-47865(危険度9.8)が見つかりました。全部で7件の欠陥が公開され、修正版32.1.2などが提供中です。回避策はなく、対象バージョンの確認と早めの更新方法を解説します。

ニュース2026年7月18日公開 本日更新
目次
この記事のポイント

多くの企業がサーバーの手前に置くVMwareの「Avi Load Balancer(ロードバランサー)」に、ログインなしで管理機能を乗っ取れる脆弱性CVE-2026-47865(危険度9.8)が見つかりました。全部で7件の欠陥が公開され、修正版32.1.2などが提供中です。回避策はなく、対象バージョンの確認と早めの更新方法を解説します。

多くの企業がサーバーの手前に置いて使うVMwareの「Avi Load Balancer(アビ・ロードバランサー)」に、ログインしないまま管理機能を乗っ取れる深刻な欠陥が見つかりました。CVE-2026-47865で、危険度は最高に近い9.8です。開発元のBroadcom(ブロードコム、VMwareを傘下に持つ半導体・ソフト企業)は同じ日にほかにも6件の欠陥を公開し、あわせて全部で7件の修正を出しました。

ロードバランサーは、たくさんのアクセスを複数のサーバーへ振り分ける「交通整理」の装置です。多くの利用者からの通信がまずここを通るため、ここを乗っ取られると、その裏にあるサービス全体が危険にさらされます。Broadcomは2026年7月14日にセキュリティ情報VMSA-2026-0005を公開し、修正版32.1.2などを提供しています。回避策(設定変更などでしのぐ方法)はなく、更新するしかありません。何が起きたのか、自分の会社に関係するのかを順に説明します。

この記事の要点(3行)

  • VMwareのロードバランサー製品「Avi Load Balancer」に7件の欠陥。最も重いCVE-2026-47865(危険度9.8)は、ログイン不要で管理機能に入り込める「認証の回避」。
  • ほかにも遠隔でプログラムを実行される欠陥(CVE-2026-47867など)やファイルを盗み見される欠陥(CVE-2026-47871)が含まれる。回避策はなく更新のみ。
  • 修正版は32.1.2・31.2.2-2p3・30.2.7。今使っているバージョンが対象か確認し、最新の32.1.2への更新が推奨されている。

なぜロードバランサーの欠陥は影響が大きいのか

ロードバランサーは、Webサイトやアプリに集まる大量のアクセスを、複数のサーバーへ均等に振り分ける装置です。利用者の通信は、目的のサーバーにたどり着く前に必ずこの装置を通ります。つまり、サービス全体の「入り口」に立っているのがロードバランサーです。VMwareのAvi Load Balancer(旧称NSX Advanced Load Balancer)は、社内のデータセンターからクラウドまで、規模の大きなシステムで広く使われている製品です。

今回、欠陥が見つかったのは、この装置を設定・管理するための頭脳にあたる部分(コントロールプレーンと呼ばれる管理機能)です。ここは本来、権限を持った管理者だけが操作できるよう、ログインで守られています。ところが最も重いCVE-2026-47865は、そのログインの仕組みそのものを回避できてしまうという欠陥です。ネットワークからその装置に届く相手であれば、正しいIDやパスワードを知らなくても管理機能に入り込める、と説明されています。

入り口の交通整理役が乗っ取られると、その先に並ぶサーバー群への通信をのぞき見されたり、偽のサーバーへ誘導されたりする恐れがあります。過去にも、VMware関連の管理ツールから内部の情報が漏れる欠陥が相次いでおり、当サイトでもVMware移行ツールの脆弱性(vCenterの管理者情報が漏れる恐れ)を取り上げています。管理の中枢が狙われるという点で、今回も軽視できない内容です。

誰が、何のために狙うのか

この欠陥を狙うのは、インターネットや社内ネットワークから到達できるロードバランサーを片っ端から探し回る攻撃者です。企業のシステムを狙う攻撃者は、まず「外から届く機器」の一覧を作り、既知の欠陥が残っていないかをまとめて試します。ロードバランサーのように常に稼働し、多くの通信が通る機器は、格好の標的になります。

攻撃者は今回の欠陥を使って、正規のログインを回避して管理機能に入り込み、装置そのものを乗っ取ろうとします。管理機能を握られれば、通信の振り分け先を書き換える、装置の上で不正なプログラムを動かす、内部の設定ファイルを読み出す、といった操作が可能になります。今回の7件には、遠隔からプログラムを実行される欠陥や、本来見えないはずのファイルを読み取られる欠陥も含まれています。

被害を受けるのは、この装置を運用する企業だけではありません。その裏側で動くサービスを使う一般の利用者も、通信を盗み見られたり、偽のページへ誘導されたりする間接的な被害を受ける恐れがあります。ロードバランサーは表からは見えない縁の下の存在ですが、乗っ取られたときの影響範囲は、その裏にあるサービス全体に及びます。だからこそ、後述するバージョン確認と更新を早めに済ませる必要があります。

公開された7件の欠陥の内訳

Broadcomのセキュリティ情報VMSA-2026-0005で公開されたのは、以下の7件です。危険度(CVSS。0〜10で表す深刻さの指標)が最も高いのは、ログイン不要で悪用できるCVE-2026-47865です。

CVE番号内容危険度ログイン
CVE-2026-47865認証の回避
(管理機能に不正侵入)
9.8(緊急)不要
CVE-2026-47871ディレクトリトラバーサル
(本来見えないファイルの読み取り)
8.8(重要)条件あり
CVE-2026-47867遠隔でのプログラム実行(RCE)8.7(重要)条件あり
CVE-2026-47869遠隔でのプログラム実行(RCE)8.7(重要)要ログイン
CVE-2026-47866権限の回避
(本来できない操作の実行)
8.3(重要)条件あり
CVE-2026-47868権限の昇格
(管理者相当の権限を奪取)
7.8(重要)条件あり
CVE-2026-47870権限の昇格7.1(重要)条件あり

Broadcomによれば、CVE-2026-47865・47866・47867・47868の4件はNATO(北大西洋条約機構)のサイバーセキュリティ拠点に所属するFilip Waeytens氏が、CVE-2026-47869・47870・47871の3件はベトナムのViettel IDCに所属するLang Khuong Duy氏が、それぞれ開発元へ非公開で報告しました。以下、影響の大きい3件を個別に見ていきます。

CVE-2026-47865(CVSS 9.8): ログインなしで管理機能を乗っ取れる

今回の中心となる欠陥です。ネットワークからAvi Load Balancerの管理機能(コントロールプレーン)に到達できる相手が、正規のログインを回避して不正にアクセスできるというものです。Broadcomは「ネットワークアクセスを持つ悪意ある利用者が、認証の仕組みを回避してAviのコントロールプレーンにアクセスできる可能性がある」と説明しています。7件のうち唯一、ログインを必要とせずに悪用できると位置づけられており、危険度も9.8と最も高く評価されています。攻撃の入り口として最も警戒すべき欠陥です。

CVE-2026-47871(CVSS 8.8): 本来見えないファイルを読み取られる

ディレクトリトラバーサルと呼ばれる種類の欠陥です。これは、ファイルの置き場所を指定する部分に「一つ上の階層へ」といった細工を混ぜることで、本来アクセスできないはずのファイルまでたどってしまう攻撃です。設定ファイルや認証に関わる情報が読み取られれば、そこを足がかりに別の攻撃へつながる恐れがあります。危険度は8.8で、今回の7件の中では認証の回避に次ぐ高さです。

CVE-2026-47867 / 47869(CVSS 8.7): 装置の上で不正なプログラムを実行される

いずれも、遠隔からロードバランサーの上で任意のプログラムを実行される(RCE)欠陥です。CVE-2026-47867CVE-2026-47869の2件があり、どちらも危険度8.7です。プログラムを実行できるということは、装置を裏で操作する足場を作られるということです。前述の認証回避(47865)と組み合わされれば、外部からの侵入から装置の掌握まで一気に進みうる点で警戒が必要です。

自分の環境は影響を受けるのか(バージョン早見表)

影響するかどうかは、いま動かしているAvi Load Balancerのバージョンで決まります。下の表で確認してください。なお最も重いCVE-2026-47865(認証回避)は、下の表のうち31系・30系・22系が対象で、比較的新しい32.1.1系は対象外です。ただし32.1.1系も残り6件の欠陥の対象なので、いずれにせよ更新が必要です。

いまのバージョン影響更新先
32.1.17件のうち6件が対象
(47865を除く)
32.1.2
31.1.1〜31.2.27件すべて対象
(緊急)
31.2.2-2p3
(または32.1.2)
30.1.1〜30.2.67件すべて対象
(緊急)
30.2.7
(または32.1.2)
22.1.1〜22.1.77件すべて対象
(緊急)
30.2.7
(または32.1.2)
32.1.2以降対処済み対応不要

Broadcomは「32.1.2が推奨バージョンであり、現時点で最新版」としています。古いバージョンを使い続けている場合も、それぞれの系統に用意された修正版(31.2.2-2p3、30.2.7)へ上げることで対処できます。バージョンは管理画面から確認でき、更新手順はVMwareの公式ドキュメントで案内されています。

いま何をすればいいのか

まず、自社でAvi Load Balancer(NSX Advanced Load Balancerを含む)を使っているかを確認し、使っている場合はバージョンを調べます。32.1.2より前であれば、対象の欠陥が残っている可能性が高いため、更新の計画を立ててください。Broadcomは回避策を用意していないため、更新以外にこの欠陥を塞ぐ方法はありません。最新の32.1.2へ上げるのが最もすっきりした対処です。

ロードバランサーはサービスの入り口にあたるため、更新には稼働中のシステムへの影響を見極める段取りが必要です。すぐに更新できない場合は、管理機能(コントロールプレーン)に外部から不必要にアクセスできない状態になっているか、ネットワークの経路や接続元の制限を見直しておくと、被害の芽を減らせます。あわせて、管理画面へのアクセス記録に不審な形跡がないかも確認しておくと安心です。

今回の7件について、現時点で実際に攻撃へ使われたという報告や、米政府機関CISAが公開する「実際に攻撃されている脆弱性リスト(KEV)」への登録は確認されていません。攻撃を実演するプログラム(PoC)も公開されていません。ただし、ロードバランサーやVPNのような「入り口の機器」は攻撃者に狙われやすく、修正版の公開後に手口が解析されて攻撃が始まる例が過去にもあります。実際の攻撃が始まっていないかは、攻撃中の脆弱性を追う一覧(日本語版)で確認できます。ロードバランサーやWAF(不正な通信を止める防御装置)をすり抜ける欠陥は最近も出ており、AWSの防御をすり抜ける脆弱性の記事もあわせて参考になります。

よくある質問(FAQ)

Q. どのバージョンに更新すればよいですか?

最新の32.1.2への更新が推奨されています。古い系統を使い続けている場合は、31系なら31.2.2-2p3、30系・22系なら30.2.7へ上げることでも対処できます。回避策はないため、いずれかの修正版への更新が必要です。

Q. 一番危険なのはどれですか?

CVE-2026-47865(危険度9.8)です。7件のうち唯一、ログインを必要とせずに管理機能へ侵入できるとされており、攻撃の入り口として最も警戒すべき欠陥です。この欠陥は31系・30系・22系のバージョンが対象で、比較的新しい32.1.1系は対象外ですが、32.1.1系も残り6件の対象なので更新が必要です。

Q. NSX Advanced Load Balancerを使っていますが関係ありますか?

関係します。NSX Advanced Load Balancerは、現在のAvi Load Balancerの旧称です。同じ製品なので、バージョンが今回の対象に当てはまる場合は更新が必要です。

Q. すでに攻撃に使われていますか?

現時点で、実際に攻撃へ使われたという報告や、米CISAの「実際に攻撃されている脆弱性リスト(KEV)」への登録、攻撃を実演するプログラム(PoC)の公開はいずれも確認されていません。ただし入り口の機器は狙われやすいため、早めの更新が推奨されます。

まとめ

多くの企業がサービスの入り口に置くVMwareのロードバランサー製品「Avi Load Balancer」に、7件の欠陥が公開されました。最も重いCVE-2026-47865(危険度9.8)は、ログイン不要で管理機能を乗っ取れる「認証の回避」で、装置を握られればその裏にあるサービス全体が危険にさらされます。ほかにも遠隔でのプログラム実行やファイルの読み取りといった欠陥が含まれ、回避策はなく更新するしかありません。

修正版は32.1.2・31.2.2-2p3・30.2.7で、開発元は最新の32.1.2を推奨しています。現時点で実際の攻撃報告やPoCの公開はありませんが、ロードバランサーは攻撃者に狙われやすい「入り口の機器」です。自社で使っている場合は、対象バージョンかどうかを確認し、稼働への影響を見極めながら早めに更新を進めておくのが安全です。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go