チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「curlって毎日使ってるけど、脆弱性とか気にしたことなかったでしゅ」
「25年前から存在する脆弱性って、今まで誰も気づかなかったってこと?」
チップスボス!curlに18件も脆弱性があったって聞いたんでしゅけど、それって結構ヤバいでしゅか?
ボスヤバいな。curlはスマートフォンからサーバー、IoT機器まで世界30億台以上で使われているライブラリだ。そこに18件もの脆弱性が一度に判明し、最古のものは2001年から潜んでいたというのは、かなり深刻な話だぞ。
2026年6月24日にリリースされたcurl 8.21.0は、単なるバージョンアップではありませんでした。
史上最多となる18件のCVEを一括修正し、そのひとつは四半世紀にわたって誰にも発見されなかった脆弱性です。
史上最古の脆弱性を含む18件の全容と、AI主導の脆弱性発見という新潮流を解説します。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
今回の修正は、単発の脆弱性対応ではありません。ひとつのリリースで18件のCVEを処理するという、curlプロジェクト史上前例のない規模です。
18件の中で特に注目されるのが、CVE-2026-8932です。
この脆弱性が最初に混入したのは2001年3月22日リリースのcurl 7.7。以来、25年にわたって誰にも発見されないまま、世界中の製品やシステムに組み込まれ続けてきました。
CVE-2026-8932の技術的な問題は、mTLS(相互TLS)の接続再利用にあります。
クライアント証明書や秘密鍵の設定が変更された後でも、libcurlが既存の接続をそのまま再利用してしまうため、本来とは異なる認証情報で通信が成立してしまいます。
今回修正された18件の主な脆弱性は以下の通りです。
| CVE番号 | 影響箇所 | 内容 |
|---|---|---|
| CVE-2026-8932 | mTLS接続再利用 | 認証バイパス(2001年〜) |
| CVE-2026-8925 | SASL認証 | ダブルフリー脆弱性 |
| CVE-2026-8926 | .netrc処理 | 認証情報の混同 |
| CVE-2026-9080 | ソケットコールバック | Use-after-free |
| CVE-2026-10536 | HTTP/2 | ツリー構造のUse-after-free |
チップス25年間誰も気づかなかったって、どういうことでしゅか?!
ボスオープンソースだからといって、全員がすべてのコードを精査しているわけではないからな。特にmTLSのような複雑な認証ロジックは、見落とされやすい領域だ。今回はAIが発見したことで、ようやく日の目を見たわけだ。
今回の大量修正の引き金を引いたのは、人間の研究者ではありませんでした。
2026年5月11日、AnthropicのMythos AIがcurlのひとつのCVEを特定したと発表。
これを機に、セキュリティ研究者やAIセキュリティプラットフォームが一斉にcurlの監査を開始し、報告が殺到しました。
AIセキュリティプラットフォームAISLEだけで6件のCVEを発見するなど、AI主導の脆弱性発見が実証的な成果を上げています。
curlが30億台以上のデバイスで使われている理由と、それが意味するリスクをまとめると以下の通りです。
curl 8.21.0より前のすべてのバージョンがCVE-2026-8932の影響を受けます。
特にlibcurlを組み込んだアプリケーションやミドルウェアは、ベンダー提供のパッチを確認してください。
curl --version でバージョンを確認し、8.21.0未満なら即時更新する
チップスcurl使ってるアプリってどうやって見つけるでしゅか?自分で全部確認するの大変そうでしゅ…。
ボスSCA(ソフトウェア構成分析)ツールを使えば、依存ライブラリを一覧で把握できるぞ。組織規模なら特にSBOM(ソフトウェア部品表)の整備を進めておくと、次の脆弱性情報にも素早く対応できる。
curl 8.21.0で明らかになった18件の脆弱性は、25年間見過ごされてきた欠陥が今まさに修正されているという事実を示しています。
AIによる脆弱性発見の加速は、セキュリティの底上げにつながる一方、発見のスピードに対応が追いつかないリスクも生みます。
curl 8.21.0への更新と、依存ライブラリの定期的な棚卸しを今すぐ実施することが、組織を守るための第一歩です。
ボス今回の件でひとつ確かなことがある。AIがセキュリティ研究の場でも実力を発揮し始めたという事実だ。守る側も、AIを使いこなす時代に入ったな。
チップスうちのサーバーのcurlも今すぐ確認するでしゅ!ありがとうございましゅ!
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
