UbiquitiのUniFi OS、最大深刻度の脆弱性3件にパッチ——約10万台のエンドポイントがネット上に露出中

Ubiquiti（ユビキティ）は2026年5月22日、ネットワーク機器管理OS「UniFi OS」に存在する最大深刻度の脆弱性3件を含む、計5件のセキュリティ修正を公開した。いずれも認証なしのリモート攻撃者が低い攻撃複雑度で悪用できるとされており、組織内にUniFiデバイスを抱えるIT管理者は即時対応が必要だ。

今回パッチが当たった5件の脆弱性

最大深刻度（CVSS v3スコア 10.0）に分類された3件は以下のとおりだ。

• CVE-2026-34908（不適切なアクセス制御）: 認証なしで対象システムに不正な変更を加えることが可能。
• CVE-2026-34909（パストラバーサル）: 基盤となるシステム上のファイルに不正アクセスでき、特定のアカウントを乗っ取る経路にもなりうる。
• CVE-2026-34910（コマンドインジェクション）: ネットワーク到達性を持つ攻撃者が不正なコマンドを実行できる「入力値検証の不備」に起因する。

あわせて、クリティカル（重大）相当のコマンドインジェクション（CVE-2026-33000）と高深刻度の情報漏洩（CVE-2026-34911）も修正された。5件すべては脆弱性報奨制度プラットフォーム「HackerOne」経由で報告されており、現時点では野在中（In the Wild）での悪用は確認されていないと Ubiquiti は説明している。

「約10万台」がいまもインターネットに露出

脅威インテリジェンス企業 Censys の調査によると、インターネット上に直接公開された UniFi OS エンドポイントは現在約10万台に上り、そのうち約5万台が米国に集中している。修正済みバージョンに更新された台数は不明で、今なお多数のデバイスが攻撃にさらされた状態にある可能性が高い。

UniFiシリーズは家庭用ルーターから中規模エンタープライズのネットワーク機器まで幅広く使われており、UniFi Network・UniFi Protect（カメラ監視）・UniFi Access（入退室管理）・UniFi Talk（IP電話）など多様なアプリケーションを一元管理するプラットフォームだ。これらが乗っ取られれば、物理セキュリティを含む企業インフラ全体が危険にさらされる。

Ubiquiti機器は国家支援ハッカーに狙われてきた歴史がある

Ubiquiti機器はすでに犯罪集団・国家支援グループ双方の標的となってきた実績がある。2024年2月にはFBIがロシア軍参謀本部情報総局（GRU）が利用していたUbiquiti EdgeOSルーターのボットネット「Moobot」を摘発。さらに2022年にはCISA（米サイバーセキュリティ・インフラストラクチャーセキュリティ庁）がUbiquiti AirOSの古い脆弱性を「積極的に悪用されている脆弱性カタログ」に掲載し、連邦機関に3週間以内の対応を命じた経緯もある。

安価で導入しやすい反面、こうした「標的にされやすい素性」を持つ製品群であることをあらためて認識しておく必要がある。

実務への影響——IT管理者がすぐやるべきこと

1. ファームウェアを今すぐ確認・更新する UniFi OS搭載のUDM（Dream Machine）シリーズ・UDR・UNVR等を管理している場合、UniFi Network Applicationのダッシュボードから「Console Settings → Updates」でバージョンを確認し、最新版を適用すること。

2. インターネット直接公開を見直す 管理コンソールをWAN側に直接開放している構成は最もリスクが高い。VPN（UniFi自身が提供するSite Magic等）やゼロトラストベースのリモートアクセスを経由してのみ管理画面に到達できるよう設計し直すべきだ。

3. ログ監視を強化する すでに侵害されていないかを確認するため、認証ログ・ファイルアクセスログを遡って確認する。異常な管理操作・不審なファイルアクセスがないか重点的にチェックしたい。

4. Censysや Shodan で自社の露出面を確認する site:censys.io や Shodan の product:UniFi 検索で自社IPレンジにヒットがないか確認することが第一歩になる。

筆者の見解

CVSS 10.0が3件同時というのは、なかなかインパクトのある開示だ。Ubiquiti製品はコストパフォーマンスの高さと管理UIの使いやすさで、スタートアップから中堅企業まで幅広く採用されている。だからこそ、今回のパッチ適用は「後回し」にできない。

気になるのは、インターネット露出している約10万台の機器のうち、どれだけが迅速にパッチを当てられるかだ。組織内のIT管理者が自分でコントロールできる環境にあればよいが、Ubiquiti製品はSIerが導入して以降ほぼ放置、という現場も決して少なくないはず。「今動いているから大丈夫」という感覚で数年間ファームウェアを更新していない機器が、この10万台の中に相当数含まれていると考えるのが現実的だろう。

セキュリティの本質はここだと思う——パッチが出ることより、それを当てられる体制があるかどうかが問われている。管理台帳を持ち、ファームウェアアップデートの適用サイクルを回せている組織はまだ少ない。UniFiのような「安くて便利な機器」ほど、導入後の管理体制が整いにくい傾向があり、そこを突かれると痛い。

ネットワーク機器の管理画面をインターネットに直接公開することは、もう「正当な運用」とは言えない時代だ。ゼロトラストの文脈では、管理プレーンへのアクセスは信頼済みのIDが確認された経路からのみ許可するのが原則であり、UniFiの設定もその方向で見直す機会にしてほしい。

出典: この記事は Ubiquiti patches three max severity UniFi OS vulnerabilities の内容をもとに、筆者の見解を加えて独自に執筆したものです。