自宅やオフィスのVPN管理ツール『WireGuard Easy』に接続情報を盗まれる脆弱性、管理画面をネットに公開していると危険 CVE-2026-63089、正式な修正版は未提供
自宅やオフィスで手軽にVPNを立てられる人気ツール『WireGuard Easy(wg-easy)』に、危険度9.3の脆弱性CVE-2026-63089が見つかりました。共有用の使い捨てリンクの合言葉が1000通りしかなく試行制限もないため、管理画面がインターネットに公開されているとログインなしでVPNの接続設定を盗まれる恐れがあります。正式な修正版はまだ提供されておらず、当面は管理画面の露出を断つ対応が必要です。
目次
自宅やオフィスで手軽にVPNを立てられる人気ツール『WireGuard Easy(wg-easy)』に、危険度9.3の脆弱性CVE-2026-63089が見つかりました。共有用の使い捨てリンクの合言葉が1000通りしかなく試行制限もないため、管理画面がインターネットに公開されているとログインなしでVPNの接続設定を盗まれる恐れがあります。正式な修正版はまだ提供されておらず、当面は管理画面の露出を断つ対応が必要です。
難しい設定なしでVPN(外出先から自宅や社内のネットワークへ安全につなぐ仕組み)を立てられる人気ツール、『WireGuard Easy(wg-easy)』にログイン不要で接続情報を盗まれる脆弱性(CVE-2026-63089)が見つかりました。危険度はCVSS(10段階)で9.3の「緊急(Critical)」です。GitHubでの人気度を示すスター数は約2万6千で、自宅サーバーや小規模チームのVPN構築でよく使われています。
wg-easyは、高速なVPNの規格「WireGuard」を、コマンドの知識がなくてもブラウザの管理画面から扱えるようにするツールです。利用者の追加や接続用のQRコード配布などを画面上で行えます。今回問題になったのは、そのうち「VPNの接続設定を相手に渡すための使い捨てリンク」の作りが甘く、リンクの中身を総当たりで言い当てられてしまう点です。
やっかいなのは、この脆弱性に対する正式な修正版がまだ配布されていないことです。直すための変更はすでにプログラムの本流に取り込まれていますが、それを含んだ安定版のリリースは本記事の執筆時点で出ていません。つまり「最新の安定版に更新すれば直る」という通常の対処が今はできず、当面は管理画面をインターネットにさらさない工夫が必要です。何が起きるのか、どういう条件で危険なのか、いま何をすべきかを順に説明します。自宅ネットワークの管理画面を狙われる問題は、広告ブロッカーPi-holeの管理画面を乗っ取られる欠陥など、身近な機器でも繰り返し起きています。
何が起きるのか
ひとことで言うと、VPNの接続設定を人に渡すための「使い捨てリンク」に付く合言葉(トークン)が、わずか1000通りしかない値から作られていました。しかも試行回数の制限がないため、攻撃者はログインなしで全通りを一瞬で試し、有効なリンクの中身を丸ごと入手できます。中身にはVPNにつなぐための鍵が含まれるため、盗まれるとそのVPNへ勝手に接続される恐れがあります。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-63089 |
| 対象 | WireGuard Easy(wg-easy) 15.3.0 以前の全バージョン |
| 危険度 | CVSS 9.3(緊急) ※新基準のv4.0では9.0 |
| 脆弱性の種類 | 推測しやすいトークン生成 (無認証で接続設定を窃取) |
| 悪用の前提 | 管理画面にネットワークで到達でき、 使い捨てリンクが有効なこと |
| 実際の攻撃 | 現時点で報告なし (KEV非該当) |
| 対策 | 正式な修正版は未提供。当面は 管理画面の露出を断つ |
ここで言う「使い捨てリンク」とは、VPNを使わせたい相手に接続設定を渡すため、一時的に発行できる共有用のURLのことです。相手はログインせずにそのリンクを開くだけで設定を受け取れる、という便利な機能ですが、リンクを守る合言葉が弱かったために、無関係な第三者にも中身を言い当てられる状態になっていました。
誰が、何のために狙うのか
この穴を突けるのは、wg-easyの管理画面にネットワークからたどり着ける攻撃者です。ログインは必要ありません。とくに危ないのは、管理画面をインターネットに直接公開している構成です。使い捨てリンクを渡す機能の性質上、その受け取り口はログインなしで開ける前提になっているため、外から届く場所にあるだけで総当たりの標的になります。
その攻撃者が行うのは、1000通りしかない合言葉を片っ端から試し、有効な使い捨てリンクの中身(VPNの接続設定と鍵)を抜き取ることです。試行回数の制限がないため、数秒から数十秒で総当たりが終わります。設定を手に入れた攻撃者は、正規の利用者になりすましてそのVPNへ接続でき、VPNの先にある自宅や社内のネットワークへ入り込む足がかりを得ます。
被害はVPNの管理者だけの問題では終わりません。VPNは「内側のネットワークへの入口」なので、そこを突破されれば、家庭内の機器や社内のサーバーなど、本来は外から触れないはずのものにまで手が届いてしまいます。VPN機器そのものが侵入口になる事例は、企業向けでもCheck Point製VPNの認証回避が攻撃に使われた件のように現実に起きており、入口の脆弱性は影響が一気に広がります。
技術的に見ると
発見者は、脆弱性を管理するVulnCheckを通じて詳細を公開しました。問題は、使い捨てリンクのトークンを、0〜999の乱数に対してCRC32という単純な計算をかけて作っていた点にあります。元の値が0〜999の1000通りしかないため、生成されるトークンも実質1000通りに収まり、総当たりが容易でした。
加えて、リンクの中身を返す窓口 /cnf/:oneTimeLink には試行回数の制限(レート制限)がありませんでした。合言葉が1000通りしかないうえに何度でも試せるため、攻撃は現実的な時間で確実に成功します。分類上は、暗号用途に不十分な乱数の使用(CWE-338)と、リンクが十分に無効化されない問題(CWE-613)にあたります。危険度ベクトルは、ネットワーク経由・認証不要で情報が漏れ、影響が他の範囲にも及ぶ(スコープ変更あり)とされ、CVSS v3.1で9.3、新基準のv4.0では9.0です。
この脆弱性は、研究者George Chen氏が報告したオープンソースの脆弱性群のひとつで、同じ日に複数のOSSの欠陥がまとめて公開されました。乱数の作り方という基本的な部分のつまずきが、そのままVPNの鍵漏れという深刻な結果につながっている点が特徴です。
修正版はまだ出ていない
直すための変更(トークンの作り方を安全な方式に変える修正)は、2026年6月12日にwg-easyの開発の本流へ取り込まれています(PR #2661)。ただし、この修正を含む安定版のリリースは、本記事の執筆時点でまだ出ていません(最新の安定版は2026年5月18日公開のv15.3.0で、これには修正が入っていません)。開発版(nightly)には反映されていますが、多くの利用者が使う安定版の入手先には、まだ修正が届いていない状態です。
| 項目 | 状況(2026年7月17日時点) |
|---|---|
| 影響バージョン | 15.3.0 以前のすべて |
| 修正 | 2026年6月12日に本流へ 取り込み済み(PR #2661) |
| 安定版リリース | 修正入りの安定版は未提供 (最新はv15.3.0=未修正) |
| 開発版(nightly) | 修正は反映済み |
| 当面の対応 | 管理画面をインターネットに 公開しない/信頼できる網に限定 |
いま何をすればいいのか
いま最優先で確認すべきは、wg-easyの管理画面(Webの操作画面)をインターネットに直接公開していないかです。公開している場合は、無認証で使い捨てリンクを総当たりされるため、すぐにアクセス範囲を絞ってください。具体的には、ファイアウォールや自宅ルーターの設定で外部からの接続を遮断し、管理画面には別のVPNや社内ネットワークの内側からだけ触れるようにするのが安全です。使い捨てリンクの機能を使っていない場合でも、露出そのものがリスクになるため、公開しない運用が基本です。
より確実に直したい場合は、修正が取り込まれた開発版(nightly)の利用を検討するか、修正入りの安定版が公開され次第、速やかに更新してください。あわせて、こうした「自前で立てた便利ツールを、気づかないうちにインターネットへ公開してしまっている」状態がないかを点検しておくと安心です。サーバー管理画面が外から丸見えになっていた事例は、管理パネルが認証なしで乗っ取られたControl Web Panelの件のように後を絶ちません。自分が使っているオープンソースの部品と、その公開範囲を把握しておく依存チェックの習慣も役立ちます。なお現時点では、米政府CISAが公開する「実際に攻撃されている脆弱性」の一覧(KEV)には登録されていません。
まとめ
CVE-2026-63089は、人気のVPN管理ツールwg-easyで、接続設定を渡すための使い捨てリンクの合言葉が1000通りしかなく、しかも試行回数の制限もなかったために、ログインなしでVPNの鍵を盗める脆弱性です。危険度はCVSS 9.3と高く、盗まれれば正規の利用者になりすましてVPNへ接続され、その先の内側ネットワークまで危険にさらされます。
最大のポイントは、修正はプログラムの本流に入ったものの、それを含む安定版のリリースがまだ出ていないことです。「最新の安定版に更新する」だけでは直らないため、当面は管理画面をインターネットにさらさないことが最も効く対策になります。実際の攻撃はまだ確認されていませんが、仕組みが単純で悪用が容易なだけに、外から触れる場所に置いている場合は早めに閉じるのが賢明です。修正入りの安定版が公開され次第、この記事に追記します。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go