世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

dnsmasqに「重要」なSecurity告知　6件の深刻な脆弱性と、AI時代のバグ修正の現実

キーポイント

dnsmasqに6件の深刻な脆弱性（CVE）が見つかった
これらはかなり古い版を除く、ほぼすべてのバージョンに影響する
対策済みの2.92rel2が公開された
開発版にも修正が入るが、ものによっては根本原因から書き直している
作者のSimon Kelley氏は、AIベースのセキュリティ研究によるバグ報告の急増にかなり時間を取られている
近く dnsmasq 2.93rc1 を出し、できるだけ早く 2.93 stable を公開したいとしている

何が起きたのか

dnsmasqの作者であるSimon Kelley氏が、2026年5月11日に「Security - IMPORTANT」というかなり強いタイトルのメッセージを投稿しました。
内容はシンプルで、でもかなり重いです。CERTがdnsmasqの重大な脆弱性6件を公開する、という告知でした。

dnsmasqは、DNSサーバー機能とDHCPサーバー機能をまとめて提供する、軽量で便利なソフトです。
家庭用ルーターからLinux機器まで、わりといろいろな場所で使われています。地味だけど、実はインフラの“縁の下の力持ち”みたいな存在です。だからこそ、ここに穴があると影響が広い。正直、こういう告知は見た瞬間に身構えます。

今回のCVEは、「かなり古い版を除けば、ほぼ全部に当てはまる」というのがポイントです。
つまり「うちの環境は古すぎないから大丈夫」ではなく、むしろ普通に使っていると当たる可能性が高いということです。ここはかなり重要です。

すぐ何をすべきか

まず押さえるべきなのは、修正版がすでに用意されていることです。

Simon氏は、dnsmasqの安定版 2.92 に対してパッチを当てた 2.92rel2 を公開したと案内しています。
さらに、開発ツリーにも修正コミットを入れる予定だとしています。

つまり、利用者側の実務としてはシンプルで、

配布元やベンダーの更新を確認する
dnsmasqを使っている機器・OSのパッケージ更新を急ぐ
可能なら手動で、どの版が入っているか確認する

という流れになります。

特に厄介なのは、dnsmasqがOSや機器に組み込まれていて、利用者が存在を意識していないケースです。
ルーターや組み込み機器の世界では「あとで更新しよう」が、そのまま放置になりがちです。個人的には、こういうときこそ“自分で直接触っていないソフトほど危ない”と思います。

なぜこんなに大きな話になっているのか

今回の告知で目を引くのは、単なる脆弱性報告ではなく、セキュリティ研究のやり方が変わってきたと作者が語っている点です。

Simon氏は、ここ数か月かなりの時間を使って、

バグ報告を受ける
重複報告を大量にふるい落とす
vendor pre-disclosure に回すものと、すぐ公開して直すものを仕分けする

という作業をしていたと述べています。

ここで出てくる vendor pre-disclosure は、ざっくり言うと
「公開前にベンダーへ先に知らせて、修正版を準備してもらう仕組み」 です。
脆弱性の世界ではよくあるやり方ですが、これにはかなりの調整コストがかかります。

作者は、この運用について少し率直に不満もにじませています。
AIベースのセキュリティ研究が増えた結果、バグ報告が爆増し、しかも重複だらけになっている、と。

これはかなり現代的な話だと思います。
AIで脆弱性を見つけやすくなったのは確かにすごい。でも一方で、同じ穴を何十人も見つけて、同じ報告が何度も届くようになると、開発者側はかなりしんどい。
技術の進歩が、そのまま「通知のノイズ増加」につながってしまっているわけです。便利さの裏側、という感じがします。

embargoは本当に必要なのか

この文章の中で、ちょっと考えさせられるのが、長い embargo（公開延期）にはあまり意味がないのではないか、という作者の見解です。

embargoは、脆弱性を見つけたあと、攻撃者に悪用される前に修正版を整えるため、一定期間公開を待つ仕組みです。
でも作者は、

「善意の研究者」が何度も見つけているなら、
「悪意のある人」も同じように見つけられるはずで、
それなら長く隠す意味は薄いのではないか

と考えています。

これはかなり現実的な意見だと思います。
もちろん、何でも即公開が正解ではありません。でも、修正に時間がかかりすぎる仕組みは、結局だれのためにもならないことがある。
特に広く使われているインフラ系ソフトでは、早く直して、早く配る、のほうが実利は大きいのではないかと感じます。

2.93への動きも始まっている

Simon氏は、まもなく dnsmasq-2.93rc1 をタグ付けすると書いています。
rc1は release candidate の略で、正式版候補のことです。つまり、「もうすぐ出る新バージョンの試作品」のようなものです。

そして、2.93をできるだけ早くstable releaseとして出したいとしています。
しかも、メンバーに対しては rc版のテストを早めに手伝ってほしい と呼びかけています。

ここも地味に大事です。
セキュリティ修正が大量に入ったあとのリリースは、急ぐと別の不具合を混ぜ込みやすい。だからこそ、rcのテストが重要になります。
「早く出したい」と「ちゃんと確かめたい」の綱引きですね。開発者としては、かなり苦しい局面だと思います。

しかも、これは一回で終わらないかもしれない

作者は最後に、AI生成のバグ報告の津波はまだ終わっていないと書いています。
つまり、この種の対応はまた近いうちに繰り返し必要になる可能性が高い、ということです。

ここは少しぞっとします。
セキュリティの世界では、脆弱性を見つける力が強くなるほど、修正と調整の仕事も増える。
見つける側の速度に、直す側の体力が追いつくのか。今後はそこがかなりの焦点になりそうです。

個人的には、今回のメッセージは単なる「脆弱性のお知らせ」以上の意味があると思います。
dnsmasqの利用者にとっては当然アップデートが最優先ですが、それと同時に、AI時代のセキュリティ報告がどう運用されるべきかを考えさせる内容でもあります。

まとめ

今回の話をひとことで言うと、dnsmasqに深刻な脆弱性が複数見つかり、修正版が出たので早く更新してほしい、という告知です。
ただし、背景には「AIによってバグ報告が爆増し、セキュリティ対応の回し方そのものが変わりつつある」という、かなり大きな変化があります。

実務的には、dnsmasqを使っているなら今すぐバージョン確認とアップデート確認。
そして開発者の視点では、修正速度、公開タイミング、重複報告の処理がますます難しくなっていく、そんな時代に入っているのだと思います。

参考: [Dnsmasq-discuss] Security - IMPORTANT

同じ著者の記事

Gemini API File Searchがマルチモーダル対応に。RAGをもっと実用的にするGoogleの新アップデート

Googleが、Gemini APIのFile Searchツールを大きくアップデートしました。今回のポイントは、ざっくり言うと「テキストだけでなく画像もまとめて検索できるようになった」こと、そして「検索の根拠をページ単位で示しやすくなった」ことです。これ、地味に見えてかなり重要です。RAG（検索拡張生成）を実際にアプリへ入れようとすると、「欲しい情報がうまく見つからない」「どの資料のどこを根拠に答えたのか説明しにくい」といった壁にぶつかりがちなんですよね。Googleはそこを、かなり実務寄りに改善してきた印象です。 File Searchがmultimodal対応 テキストだけでなく、画像も一緒に扱えるようになった custom metadataに対応 ファイルに `department: Legal` のようなラベルを付けて、整理・絞り込みしやすくなる page-level citationsを追加 どのページを根拠に答えたかを示しやすくなり、透明性が上がる RAGをより「実用」寄りに改善 プロトタイプだけでなく、業務アプリ

dnsmasqに「重要」なSecurity告知 6件の深刻な脆弱性と、AI時代のバグ修正の現実