NGINX Rift CVE-2026-42945：18年潜伏のヒープバッファオーバーフローとアクティブ攻撃の全容

2026年5月14日、Webサーバシェア世界約34%を占めるNGINXにCVSS 9.2（Critical）のヒープバッファオーバーフロー脆弱性が公表された。CVE-2026-42945、通称「NGINX Rift」は2008年頃に導入されたngx_http_rewrite_moduleのバグに起因し、18年間にわたってコードベースに潜伏し続けた。3日後の5月17日にはPoC由来のアクティブ攻撃が実環境で確認されており、未パッチのNGINX運用者には即時対応が求められる。

セキュリティ脆弱性の体系的な防御アプローチについてはサプライチェーンセキュリティ完全ガイド2026｜攻撃手法・防御ツール・実践チェックリストをご覧ください。

NGINX Riftとは：CVE-2026-42945の全体像

NGINX Riftはセキュリティ研究チーム「depthfirst」が2026年4月18日に自律スキャニングにより発見し、4月21日にF5/NGINXへ責任ある開示（responsible disclosure）を行った脆弱性だ。公表から5月13〜14日のパッチリリースまでわずか23日という異例の速さで対応が進んだ一方、翌17日にはPoC（概念実証コード）が公開されアクティブ攻撃が確認された。

NGINXは世界の約34%のWebサーバで稼働しており、この影響範囲はApacheやCaddy、Iisの比ではない。さらにNGINXは多くのKubernetesクラスタのIngress Controllerとして、またF5のApp Protect WAFのエンジンとして組み込まれているため、一台のNGINXバイナリを修正するだけでなく、複数の製品スタックを個別に更新する必要がある。

CVSSスコアはv4.0で9.2（Critical）、v3.1では8.1（High）と評価されている。v4.0とv3.1でスコアが異なるのは、RCEの実現可能性に関する評価の違いによるもの（後述）。

根本原因：ngx_http_rewrite_moduleの2パス処理バグ

NGINX Riftの技術的本質はngx_http_script.c内の状態フラグ汚染だ。NGINXのrewriteエンジンはリクエスト処理を2つのフェーズで行う。

1. 計算フェーズ（length pass）: 置換後URLのバッファサイズを計算してメモリを確保
2. コピーフェーズ（copy pass）: 実際のURLデータをバッファに書き込む

問題が起きるのは、rewriteディレクティブの置換文字列に?（クエリ文字列区切り）が含まれる場合だ。この時ngx_http_script_start_args_code関数がe->is_args = 1フラグを立てる。このフラグは計算フェーズでは正しくリセットされるが、コピーフェーズではそのまま引き継がれてしまう。

結果としてngx_escape_uri関数は計算フェーズで算出したバッファサイズよりも大きなデータを書き込もうとし、ヒープバッファオーバーフローが発生する。さらに致命的なのは、オーバーフローで書き込まれるバイト列が攻撃者の送ったURIから直接導出される点だ。これは「攻撃者がメモリ破壊の内容を制御できる」ことを意味し、単純なサービス妨害を超えたコード実行への道を開く。

この条件が揃うのは以下の3つが同時に成立する場合だ：

• 無名PCREキャプチャ（$1、$2など）を含むrewriteルール
• 置換文字列に?を含む（クエリ文字列を付加する形式）
• 同じlocation/server内で別のrewrite・if・setディレクティブが後続する

これはAPIゲートウェイやリバースプロキシ設定で頻繁に見られるパターンであり、多数の本番環境が潜在的に影響を受けている。

攻撃手法の詳細：ヒープfeng shuiによるRCE

DoS（ワーカープロセスのクラッシュと再起動）は「trivial and reliable（自明かつ安定的）」とAlmaLinuxのアセスメントで評価されており、特別な技術なしに実現できる。一方、完全なRCEは6ステップのヒープfeng shuiテクニックを用いる高度な攻撃だ。

重要な注記がある。公開されているPoCはRCEの実証にASLR（Address Space Layout Randomization）の無効化を必要とした。現代のLinuxディストリビューションではASLRがデフォルトで有効になっており、通常構成のサーバではRCEの難易度は大幅に上がる。ただしコンテナ環境や組み込み機器ではASLRが無効または弱化されているケースがある点に注意が必要だ。実際、Kubernetes上でのPodはホストのASLR設定に依存する。

タイムライン：18年の潜伏から3日間のアクティブ攻撃へ

特筆すべきは発見から公開までの速さだ。通常のCVEサイクルは90日程度だが、今回は23日で対応が完了した。これはF5/NGINXの迅速な対応と、depthfirstによる責任ある開示の成功例と言える。ただしPoCの即日公開がアクティブ攻撃を加速させた点は議論の余地がある。

また、18年間このバグが発見されなかった背景として、脆弱性を引き起こす条件（無名キャプチャ + ? + 後続ディレクティブ）が比較的ニッチなパターンであり、かつ通常の動作テストでは問題が顕在化しにくいことが挙げられる。depthfirstが自律スキャニングツールによって発見できたのは、人間のセキュリティ研究者が見落としやすいこのようなコーナーケースを系統的に探索できたからだ。

影響範囲：製品別バージョン対応表

⚡ 対応確認の手順

「自分の環境が影響を受けるか」「すでに攻撃を受けていないか」を上から順に切り分ける。下記のStep 1〜4を順に実行すれば、パッチ適用までの判断が一本道になる。攻撃確認手順を体系立てて回す考え方は、MariaDB Galera RCE脆弱性 CVE-2026-49261（CVSS 10.0）｜影響確認とパッチ手順とも共通する。

# バージョンとビルドオプションを確認
nginx -v          # 例: nginx version: nginx/1.28.0 → 脆弱
nginx -V 2>&1 | tr ' ' '\n' | grep -i 'http_rewrite\|with-http'

# パッケージ側のバージョンも突き合わせる
dpkg -l nginx 2>/dev/null || rpm -q nginx 2>/dev/null

# 無名キャプチャ + ? を含む rewrite を抽出
grep -rnE 'rewrite[^;]*\$[0-9][^;]*\?' /etc/nginx/ 2>/dev/null

# include で読み込む設定も含めて実効設定全体を走査
nginx -T 2>/dev/null | grep -nE 'rewrite[^;]*\$[0-9][^;]*\?'

# Kubernetes は Ingress Controller のバージョンも確認
kubectl get pods -n ingress-nginx -o jsonpath='{.items[*].spec.containers[*].image}'

# ===== 脆弱な設定例（3条件成立）=====
server {
    location /api/ {
        # 危険: $1（無名キャプチャ）+ ? + 後続の set ディレクティブ
        rewrite ^/api/(.*)$ /v2/$1?format=json break;
        set $upstream http://backend;
        proxy_pass $upstream;
    }
    location /user/ {
        # 危険: rewrite 連鎖 + 無名キャプチャ + ?
        rewrite ^/user/([0-9]+)$ /profile?id=$1 last;
        rewrite ^/profile(.*)$ /api/profile$1 break;
    }
}

# ワーカープロセスの異常終了（DoSの痕跡）
grep -iE 'worker process [0-9]+ exited on signal|segfault|signal 11' /var/log/nginx/error.log

# 多重URLエンコードを含む異常リクエスト（RCEプローブの痕跡）
awk '{print $7}' /var/log/nginx/access.log | grep -E '(%[0-9a-fA-F]{2}){6,}' | sort | uniq -c | sort -rn | head

# カーネル側にも nginx のクラッシュが残ることがある
dmesg 2>/dev/null | grep -i nginx

# Debian/Ubuntu
apt-get update && apt-get install --only-upgrade nginx
# RHEL系（AlmaLinux/Rocky含む）
dnf update nginx
# 適用確認 → リロード（無停止）
nginx -v && nginx -t && nginx -s reload

対策手順：named captureへの書き換えとパッチ適用

最優先の対策はパッチ（バージョンアップ）だ。ただし本番環境でのNGINXの即時再起動が困難な場合や、複数の製品スタックを段階的に更新する場合の暫定措置として、設定変更による緩和が有効だ。

# ===== 修正後の設定例：named captureへの書き換え =====
server {
    location /api/ {
        # 修正前: rewrite ^/api/(.*)$ /v2/$1?format=json break;
        # 修正後: 無名キャプチャ $1 を named capture ${path} に置換
        rewrite ^/api/(?P<path>.*)$ /v2/${path}?format=json break;
        set $upstream http://backend;
        proxy_pass $upstream;
    }

    location /user/ {
        # 修正前: rewrite ^/user/([0-9]+)$ /profile?id=$1 last;
        # 修正後: named capture ${uid} を使用
        rewrite ^/user/(?P<uid>[0-9]+)$ /profile?id=${uid} last;
        rewrite ^/profile(.*)$ /api/profile$1 break;
    }
}

# 変更後の適用（サービス停止なし）
# nginx -t && nginx -s reload

書き換えのルールはシンプルだ。(.*) のような無名キャプチャを (?P<name>.*) 形式の名前付きキャプチャに変え、参照箇所の$1を${name}に置き換えるだけだ。設定変更後は必ずnginx -tで構文チェックを行い、nginx -s reloadでリロードすることでサービス停止なしに緩和が適用される。

Kubernetes環境の場合はIngressリソースのannotationも確認が必要だ。

# Kubernetes Ingress annotation での named capture 使用例
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: api-ingress
  annotations:
    # 修正前（脆弱）
    # nginx.ingress.kubernetes.io/rewrite-target: /v2/$1?format=json
    # 修正後（named capture）
    nginx.ingress.kubernetes.io/rewrite-target: /v2/${path}?format=json
    nginx.ingress.kubernetes.io/use-regex: "true"
spec:
  rules:
    - http:
        paths:
          # 修正前: path: /api/(.*)
          # 修正後: named capture を使用
          - path: /api/(?P<path>.*)
            pathType: ImplementationSpecific
            backend:
              service:
                name: api-service
                port:
                  number: 8080

パッチ適用手順：各環境向けアップグレード

NGINX Open Sourceのアップグレード

# Ubuntu/Debian: 公式NGINXリポジトリ使用
apt-get update
apt-get install --only-upgrade nginx

# CentOS/RHEL/AlmaLinux
yum update nginx
# または dnf を使用する場合
dnf update nginx

# バージョン確認（1.30.1以上であることを確認）
nginx -v

# 設定テスト → リロード（ダウンタイムなし）
nginx -t && nginx -s reload

# AlmaLinuxの場合（アドバイザリ al-2026-056 対応）
# https://almalinux.org/blog/2026-05-13-nginx-rift-cve-2026-42945/ を参照

NGINX Plus のアップグレード

NGINX PlusユーザはF5公式アドバイザリ K000161019 を参照し、R32 P6またはR36 P4以上へのアップグレードを実施する。NGINXカスタマーポータルから更新パッケージを取得できる。

Kubernetes Ingress Controllerのアップグレード

# Helm を使用している場合
helm upgrade ingress-nginx ingress-nginx/ingress-nginx \
  --namespace ingress-nginx \
  --version 5.4.2  # 修正済み最小バージョン

# 更新後の確認
kubectl get pods -n ingress-nginx
kubectl describe pod -n ingress-nginx | grep -i image

SCA / 脆弱性管理での検知

手作業のバージョン確認は1台なら成立するが、数十〜数百のコンテナイメージやホストを抱える環境では破綻する。SCA（Software Composition Analysis）ツールでCVE-2026-42945を含むNGINXパッケージを横断検知し、CIや定期スキャンに組み込むのが現実的だ。コンテナイメージ・OSパッケージ・IaCを横断でスキャンする発想は、Vitest RCE脆弱性（CVE-2026-47429ほか）｜影響バージョンの確認・パッチ適用・SCA検知の手順でも同じく有効だった。

# Trivy: 稼働中イメージをスキャンし CVE-2026-42945 を絞り込み
trivy image --severity CRITICAL,HIGH nginx:1.28 | grep -i 'CVE-2026-42945\|nginx'

# Grype: ホストの実ファイルシステムを走査
grype dir:/ --only-fixed | grep -i nginx

SCAは「どこに脆弱なNGINXが残っているか」の地図を描くツールであり、修正そのものはStep 4のアップグレードで別途行う。検知で終わらせないことが肝心だ。

CVE-2026-42945が示す「長期潜伏バグ」の危険性

NGINX Riftは18年間にわたって発見されなかったが、これは特異な事例ではない。近年の重大な脆弱性を振り返ると、XZ Utils backdoor（2024年）、OpenSSH regreSSHion（2024年）、Log4Shell（2021年）など、長年にわたって活用されてきたコアコンポーネントに潜む脆弱性が相次いで発見されている。

問題は「なぜ見つからなかったか」ではなく「なぜ今見つかったか」だ。depthfirstは自律スキャニングツールを使用して発見したと述べている。これはAIや自動化ツールがセキュリティ研究に本格的に組み込まれ始め、人間の目では見落としがちなコーナーケースを系統的に探索できるようになったことを示唆する。裏を返せば、攻撃者側も同様のツールを使って未知のゼロデイを掘り起こす時代に入ったということだ。

今回同時に発見された脆弱性は CVE-2026-42945 だけではない。depthfirstの開示によれば同じコードレビューサイクルで3つの追加CVE（CVSS 6.3〜8.3）も発見されており、NGINXのリライト処理全体に構造的な脆弱性が潜在していた可能性がある。自律スキャニングが攻撃面を掘り起こす流れは、開発ツール側でもClaude CodeのMCP通信ハイジャックでOAuthトークンが窃取される攻撃｜検知・対応・防御の手順のように広がっている。

過去の類似事案：古いコードベースに潜むRCE

NGINX Riftの「長く使われたコアコンポーネントに、ある条件でのみ顕在化するメモリ破壊が潜む」という構図は、過去の重大事案と共通する。古いCコードベースほど、当時のテストでは踏まれなかったコーナーケースが残存しやすい。

共通する教訓は3つだ。「枯れている」ことは「安全」を意味しないこと、NGINXのように複数製品（Ingress・WAF・Gateway）へ組み込まれるコンポーネントは1つのCVEが面で波及すること、そしてSCAと定期スキャンを常設し新規CVE公表時に「自社のどこに何バージョンが居るか」を即答できる状態を作っておくことだ。脅威モデルから対策ツールまで体系的に押さえるなら、AIセキュリティとは？LLM時代の脅威モデル・代表的リスク・OSS対策ツールを体系解説する入門ガイドも入口になる。

攻撃を受けた場合の検知・インシデント対応

痕跡の探し方は前述の「⚡ 対応確認の手順」Step 3（workerクラッシュログ・多重エンコードURI・dmesg）にまとめた。ここでは、攻撃が確認できた後に何を順番に実施するかのランブックを示す。アクティブ攻撃が確認された場合は：

1. 即時：WAF/ロードバランサでリクエストブロック（後述のIPや特徴的なURIパターン）
2. 短期：named captureへの書き換え + nginx -s reload で緩和（ダウンタイムなし）
3. 計画：メンテナンスウィンドウで正式パッチ（1.30.1/1.31.0）へアップグレード
4. 事後：ログを保全してインシデント分析を実施

開発・運用チームへのチェックリスト

NGINX Rift は2026年のWebインフラを直撃した高深刻度脆弱性の一つだ。同時期にはOSS全体でRCEラッシュが続いており、React Router v7 RCE脆弱性 CVE-2026-42211｜影響確認とパッチ適用手順やOpenStack Mistral RCE脆弱性（CVE-2026-41283 / CVSS 9.9）｜低特権認証→executor RCEの確認と修正手順も同じ「影響確認→暫定緩和→パッチ」の手順で対応が必要だった。さらにNext.js CVE-2026-44578のSSRF（Next.js CVE-2026-44578：WebSocket SSRF（CVSS 8.6）の仕組みと自己ホスト向け緊急対策）、GitHub Actions経由のサプライチェーン攻撃（GitHub Actions pull_request_targetの危険な設定ミスとサプライチェーン攻撃リスク）、そしてLinuxカーネル層でコンテナエスケープを許すCopy Fail（CVE-2026-31431）：非特権ユーザーがページキャッシュを4バイト書き換えてroot奪取と並び、2026年4〜5月はWebインフラからカーネルまでセキュリティが集中して試された期間として記録されるだろう。根本的な対策は「パッチを当てる」という一点に尽きる。named captureへの書き換えはあくまで暫定措置であり、次のメンテナンスウィンドウでの正式アップグレードを必ず計画に入れてほしい。

参照ソース

• CVE-2026-42945: Mitigating a Critical Heap Buffer Overflow Vulnerability in NGINX — Akamai
• 18-Year-Old NGINX Rewrite Module Flaw Enables Unauthenticated RCE — The Hacker News
• 18-year-old NGINX vulnerability allows DoS, potential RCE — BleepingComputer
• NGINX Rift CVE-2026-42945: Critical Heap Buffer Overflow Vulnerability Explained — Picus Security
• F5 Security Advisory K000161019 — nginx.org / F5
• NGINX Rift (CVE-2026-42945) Patches Released — AlmaLinux
• Exploitation of Critical NGINX Vulnerability Begins — SecurityWeek