チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「protobuf.jsって自分で入れた覚えないのに、依存ツリーに何十個も入ってて怖いでしゅ……」
「週5,000万ダウンロードのライブラリでRCEって、うちのNode.jsアプリは大丈夫なんでしゅか?」
チップスpackage-lock.jsonにprotobufjsって書いてあるんでしゅけど、これ放置でいいんでしゅか……?
ボスふふふ、放置は危ういな。今回の6件はDoSで終わらず、条件次第でNode.jsプロセス内のコード実行まで届く。仕組みを押さえれば、どのバージョンを切るべきか即断できるぞ。
本記事では、Cyera Researchが公表したprotobuf.jsの6件の脆弱性「Proto6」の中身と、Node.jsアプリでRCEに至る仕組み、いますぐ取るべきアップデート対応を整理します。
読み終える頃には、自社のNode.js依存からどのバージョンを切り、何を優先して直すかが見えてきます。
オススメ案件
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まずはCyera Researchが公表した6件の中身と影響範囲を整理します。
protobuf.jsはProtocol BuffersのJavaScript実装で、週5,000万ダウンロードを超える人気ライブラリです。
多くの企業アプリやAI・データ基盤に直接、あるいは依存の依存として組み込まれているため、影響範囲はかなり広いとみています。
Cyera Researchが見つけた6件は「Proto6」と総称され、RCE・DoS・プロトタイプ汚染・コードインジェクションを引き起こします。
中でもCVE-2026-44291は最も深刻で、攻撃者が制御する入力からプロトタイプ汚染へ到達し、Node.jsプロセス内での任意JavaScript実行まで届きます。
6件の内訳は以下のとおりです。
| CVE | 影響 |
|---|---|
| CVE-2026-44291 | RCE(プロトタイプ汚染経由でNode.js内の任意JS実行) |
| CVE-2026-44295(CVSS 8.7) | pbjsの静的出力へのコードインジェクション |
| CVE-2026-44292 | プロトタイプインジェクション(継承プロパティ改ざん) |
| CVE-2026-44289 / 44290 / 44294 | DoS(細工入力でクラッシュ・リソース枯渇) |
影響を受けるのは7.5.5以下と8.0.0〜8.0.1で、修正版は7.5.6 / 8.0.2、CLI(protobufjs-cli)は1.2.1 / 2.0.2です。
チップスDoSだけかと思ったら、RCEまで混ざってるんでしゅか……。
ボスそこが今回の怖いところだな。DoSは止まるだけだが、RCEは乗っ取られる。優先順位を間違えるなよ。
なぜデータ変換ライブラリでコード実行が起きるのか、その筋道と対策を押さえます。
CVE-2026-44291の起点は、Node.jsアプリが攻撃者の制御する入力を受け取り、プロトタイプ汚染のガジェットに到達する点にあります。
汚染されたObject.prototypeを通じて、攻撃者が仕込んだ文字列が正規のprotobufプリミティブのように見えてしまいます。
protobuf.jsはエンコーダ・デコーダ関数を動的に生成し、その文字列をFunction()でコンパイルするため、紛れ込んだ文字列がそのままコードとして走ります。
結果として、Node.jsプロセス内で任意のJavaScriptが実行される流れです。
いますぐ取るべき対応は以下のとおりです。
protobuf.jsは依存の依存として入り込みやすいため、自分で入れた記憶がなくても影響を受けることがあります。
サプライチェーン経由で国内の開発組織にも波及しうるので、lockファイル単位での確認が欠かせません。
チップスうちのアプリ、外から来たデータをそのままデコードしてた気がするんでしゅ……。
ボスふふふ、まさにそこが狙われる導線だ。まずはバージョンを上げ、次に入力の検証を足す。この順で潰せば慌てずに済むぞ。
Proto6は、週5,000万ダウンロードのprotobuf.jsという足元のライブラリでRCEやDoSが起きうることを示しました。
最優先はバージョン更新で、7.5.6 / 8.0.2、CLIは1.2.1 / 2.0.2へ上げ、間接依存も含めて引き直すことが先決です。
そのうえで、外部入力をデコードする箇所の検証とプロトタイプ汚染対策を足せば、RCEへの導線を断てます。
依存ツリーの奥まで責任を持つこうした地道な実務こそ、2026年のNode.js運用で効いてくる部分だとみています。
参考: eSecurity Planet「Six protobuf.js Vulnerabilities Expose RCE and DoS Risks」
オススメ案件
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
