テックセキュリティの「いま」を、IT 管理者にも一般読者にも分かる言葉でお届け。Microsoft Patch Tuesday、iOS / macOS セキュリティ、Chrome / WordPress 脆弱性、AI 主要ベンダーの動向を、CVE 番号と影響度つきで素早く追跡します。

2026-06-19

dnsmasqに深刻な脆弱性、6件のCVEと2.92rel2リリースを案内

キーポイント

dnsmasqで深刻なセキュリティ脆弱性が6件見つかったと案内された
対象はかなり古い版を除く、ほぼすべての非古参バージョンに及ぶ
既にCERT経由でベンダーへ事前共有されており、各社の修正版配布が期待されている
2.92安定版向けに2.92rel2が公開され、パッチが適用済み
開発版でも修正は順次取り込まれ、2.93rc1のタグ付けと早期の安定版リリースが予告されている
作者は、AIを使ったセキュリティ調査の急増で、脆弱性報告の整理がかなり大変になっていると述べている

何が起きたのか

dnsmasqの作者 Simon Kelley 氏が、メーリングリストでかなり強いトーンの告知を出しました。内容をざっくり言うと、「dnsmasqに深刻な脆弱性が6件あり、今日CERTからCVEが公開される。修正版も出したので急いで更新してほしい」という話です。

dnsmasqは、DNSキャッシュやDHCPなどをまとめて扱える軽量ソフトです。家庭用ルーターや小さなサーバー、組み込み機器など、意外なほど広い場所で使われています。
つまり、ここで「深刻」と言われるのはかなり重い話です。地味なソフトに見えて、実はネットワークの根っこを支えているので、こういうアナウンスは見逃せません。

6件のCVE、しかも“長年潜んでいた”タイプ

今回の脆弱性は、長く残っていたバグだと説明されています。しかも「pretty much all non-ancient versions」、つまりかなり昔すぎる版を除けば、ほぼ全部に当てはまるというニュアンスです。

ここが重要で、単なる「最新版だけの不具合」ではありません。
古いコードにずっと潜んでいて、最近になってようやく見つかったタイプの脆弱性なので、影響範囲が広い可能性があります。こういうのは本当に厄介で、運用側からすると「うちは古いから関係ない」とは言い切れないのが怖いところです。

修正版はどこで手に入るのか

Kelley 氏は、詳細とパッチは公式サイトのCVEページにあると案内しています。

https://thekelleys.org.uk/dnsmasq/CVE/

また、安定版 2.92 に対しては、2.92rel2 が公開されています。
これは、現在の安定版 2.92 に脆弱性修正を backport（過去の安定版へ修正を持ち戻すこと）したリリースです。

個人的には、この「rel2」という出し方はかなり実務的で好きです。
開発版の大きな変更を待たず、とにかく安全なものを使えるようにする。運用の現場では、こういう“すぐ使える修正版”がいちばん助かるんですよね。

開発版でも修正、ただし一部は根本から直す

告知では、開発ツリーにも修正コミットを順次入れるとしています。
中には安定版向けのパッチをそのまま当てるものもあれば、原因そのものを直すために大きく書き直したものもあるそうです。

このあたりは、ソフトウェア修正の典型です。

安定版向け：なるべく小さく直す
開発版向け：必要なら根本から直す

安定版では「動いているものを壊さない」ことが大切ですが、開発版では再発防止まで含めてちゃんと直したい。
この切り分けは、見た目以上に大事です。安全性と互換性の両立って、ほんとうに難しいので。

AIによる脆弱性報告の“津波”

今回の文章で、技術的な話と同じくらい印象的なのが、作者の率直なぼやきです。
Kelley 氏は、AIベースのセキュリティ研究が革命的な勢いで増えていて、バグ報告がものすごい量になっていると書いています。

しかも問題は単なる件数だけではありません。

重複報告が非常に多い
事前公開すべきものと、すぐ公開して直すべきものを見分ける必要がある
その判断がどうしても主観的になる
しかも秘密保持の調整やバックポート作業は、関係者全員にとって負担が大きい

これはかなり現代的な悩みだと思います。
AIが脆弱性発見を加速するのは良いことですが、その一方で、「見つける力」だけが増えて「さばく力」が追いつかない問題が起きているわけです。

個人的には、ここはすごく面白いポイントです。
セキュリティの世界は、発見競争が進めば進むほど「公開のタイミング」「修正の段取り」「関係者調整」がボトルネックになる。AIは攻撃者だけでなく防御側も強くしますが、その副作用として、周辺の運用コストまで一気に膨らむんですね。

2.93のリリースも急ぐ方針

作者は近く dnsmasq-2.93rc1 をタグ付けし、できるだけ早く2.93の安定版を出したいと述べています。
rc1 は release candidate の略で、正式リリース前の試用版のことです。ここで広くテストしてもらうことが重要だ、と呼びかけています。

要するに、

まず今すぐ使える修正版を出す
その上で、新しい安定版 2.93 を早めに出す
まだ流れ続けるAI由来の報告にも、今後また対応する

という二段構えです。

このスピード感は、かなり切迫している印象があります。
「2.93は一週間くらいで出せるかも」と書いていますが、これは逆に言えば、それだけ緊急度が高いということでもあります。

この告知から見えること

このメールは、単なる「アップデートしてください」という定型文ではありません。
むしろ、今のオープンソース保守の現場がどうなっているかをそのまま見せている感じがあります。

古いコードの脆弱性は、ある日まとめて表に出る
CERTやベンダーとの調整が必要
しかし待ちすぎると危険
AIで発見は増えるが、整理と修正が追いつかない
だから、短いサイクルで修正版を出し続ける必要がある

こうして見ると、dnsmasqのような小さく見えるソフトでも、実際にはかなり大きな責任を背負っています。
そして作者がかなり率直に状況を語っているのも好印象です。隠さずに「大変だ」と言ってくれるのは、利用者にとってもありがたいですよね。

利用者はどうすべきか

記事の内容から言える実務的な話はシンプルです。

dnsmasqを使っているなら、配布元の更新情報を確認する
可能なら 2.92rel2 か、各ディストリビューションの修正版へ更新する
ベンダー提供のパッケージを使っている場合は、そのベンダーの告知を待つ
ルーターや組み込み機器でも使われているので、見えない場所のdnsmasqにも注意する

特に、家庭用機器やネットワーク機器は「中で何が動いているか見えにくい」のが難点です。
だからこそ、こういう告知が出たら、システム管理者だけでなく製品ベンダー側の対応も含めて確認する価値があります。

まとめ

今回の告知は、dnsmasqに6件の深刻な脆弱性が見つかったという、かなり重要なニュースです。
すでに修正版は公開されていて、作者は 2.92rel2 と 2.93 の早期リリースを進めています。

そして個人的に気になったのは、脆弱性そのもの以上に、AI時代のセキュリティ運用が完全に新しい局面に入っていると感じさせる部分でした。
見つけるのは速くなった。でも、直す、整理する、公開を調整する——このあたりはむしろ難しくなっているのかもしれません。

オープンソースの保守は、こういう見えない調整力で支えられているんだな、と改めて思わされる告知でした。

参考: Dnsmasq-discuss Security - IMPORTANT

同じ著者の記事

NGINXのRCE脆弱性「CVE-2026-42945」とは何か？攻撃コード公開リポジトリをわかりやすく解説

GitHubに、CVE-2026-42945 を狙う exploit（攻撃コード） のリポジトリが公開されている対象は NGINX の `ngx_http_rewrite_module` にある heap buffer overflow（ヒープバッファオーバーフロー） 影響範囲はかなり広く、NGINX Open Source 0.6.27〜1.30.0 が影響対象この脆弱性は、未認証でのリモートコード実行（RCE） に悪用できると説明されている修正済み版は NGINX Open Source 1.31.0 / 1.30.1、NGINX Plus も各パッチで修正かなり技術的だが、要するに「Webサーバーが外から壊され、好き勝手に命令を実行されうる」という話で、これは普通に怖い今回のGitHubリポジトリ「Nginx-Rift」は、CVE-2026-42945 の exploit、つまり「脆弱性を実際に突くための実証コード」です。こういうリポジトリは、研究・検証のために公開されることもあれば、攻撃者に悪用

papoo.work

Pixel 10で見つかった「0クリック」攻撃チェーンの全貌――扉が閉まったら、窓から入る話

Project Zeroが、Pixel 10向けに新しい0-click exploit chain（ユーザー操作なしで成立する攻撃のつながり）を公開した以前のPixel 9向け攻撃は、Dolbyの脆弱性を起点にAndroidのroot権限へ到達するものだった Pixel 10では、前回使ったBigWaveドライバが載っていなかったため、代わりにVPUドライバを発見して突破口にしたそのVPUドライバには、mmapの実装ミスにより、ユーザー空間からカーネルメモリを読み書きできる致命的な欠陥があったしかも攻撃の成立に必要なコードはわずか5行、フルエクスプロイトも1日未満で作れたというただし、Googleの修正対応は前より改善しており、報告から71日で修正されたのは評価できる Google Project Zeroが、Pixel 10で使える0-click exploit chainを公開しました。 0-clickというのは、名前の通り被害者が何も操作しなくても成立する攻撃のことです。たとえば怪しい

papoo.work

GitHubで約3,800件の内部リポジトリが流出か？悪性VS Code拡張が招いた“開発者向け”サプライチェーン攻撃を解説

GitHubは、社員1人の端末に悪性のVS Code extensionが入ったことをきっかけに、約3,800件の内部リポジトリへの侵害を確認した。現時点でGitHubは、影響を受けたのは社内リポジトリのみで、顧客データが外部で漏えいした証拠はないとしている。攻撃者側はBreachedフォーラムで、約4,000件のprivate codeを持ち出したと主張し、5万ドル以上で売ろうとしていた。後続の更新では、この事件はTanStackのnpmサプライチェーン攻撃と関連づけられ、社員がNx Console extensionの悪性版を入れたとされている。こうした事件は、「便利な開発ツール」がそのまま攻撃入口になることをはっきり示していて、かなり嫌な現実だと思う。 BleepingComputerによると、GitHubは約3,800件の内部リポジトリが侵害されたことを認めました。きっかけは、GitHub社員の1人が悪性のVS Code extensionをインストールしたことです。 VS Code

papoo.work

WordPressプラグイン30本に仕込まれたバックドア事件をわかりやすく解説

papoo.work

Instagramの“ハッキング騒動”があまりにも雑だった話

Instagramで、複数の有名アカウントが「乗っ取られたように見える」騒動が起きた元記事では、その手口はsupport AIを悪用した、かなり間抜けなアカウント復旧フローだと説明している必要なのは、相手のusernameと、対象の地域に近いVPN/proxyだけだったとされる 2FA（2段階認証）も、この流れの中ではほぼ意味を持たなかった Metaはすでに修正したようだが、数週間〜数か月は動いていた可能性があるという重要なのは「AIが悪い」というより、高権限の手続きを雑に自動化すると、こうなるという教訓だと思う元記事によると、Instagramの複数アカウントが一斉に乗っ取られたように見える騒動が起きました。しかも、被害にあったとされるアカウントの中には、Obama White House のようなかなり目立つものも含まれていたそうです。ここで面白いのは、著者がこの事件をかなり辛辣に評している点です。彼は長年セキュリティの脆弱性を見てきた人ですが、それでも「これまで見た中で一番バカバカしい」と言っている。かなり強い表現ですが、読み進めると「な

papoo.work

2026年5月17日版セキュリティ5選：0-click、ゼロデイ、バックドア、dnsmasq重大脆弱性まで一気に警戒

Google Project Zero が、Pixel 10 に対する 0-click の攻撃チェーンを公開しました。ユーザー操作なしで成立するタイプは、実害が出るまでの時間が短く、個人的にも最優先で警戒すべき類型だと感じます。 Apple M5 環境で、公開ベースでは初とされる macOS カーネルのメモリ破損エクスプロイトが報告されています。カーネル絡みは一気に権限昇格や防御回避につながりやすく、ここはサボると意味が半減します。 BitLocker で保護されたドライブが、USB スティック上の一部ファイルだけで開けてしまう可能性を示す “YellowKey” ゼロデイが取り上げられています。もし再現性があるなら影響はかなり深刻で、暗号化しているから安心、とは言えない状況です。誰かが WordPress プラグイン 30 本を買い取り、すべてにバックドアを埋め込んだとされる事案です。WordPress は導入数が多いぶん、更新元の信頼性や買収後の挙動確認を軽視すると一気に被害が広がります。 CERT が dnsmasq の重大な脆弱性として 6 件の CVE を公開すると案内して

papoo.work