UbiquitiのUniFiシリーズにCVE-2026-50746など7件のクリティカル脆弱性、コマンドインジェクションで乗っ取りの恐れ

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「社内のネットワーク機器にUbiquitiを使っているけど、今回の脆弱性は大丈夫?」
「コマンドインジェクションって具体的にどんな被害が起きるんでしゅか?」

チップス

ボス、UbiquitiのUniFiって企業や学校でよく見かけますよね。今回7件も脆弱性が修正されたって本当でしゅか?

ボス

そうだ。最も深刻なCVE-2026-50746はコマンドインジェクション脆弱性で、ネットワークにアクセスできる攻撃者がホストデバイス上で任意のコマンドを実行できる。日本の企業や政府機関でも広く採用されているだけに、今すぐ確認が必要だ。

2026年7月8日、Ubiquitiは自社製品のUniFi Connect・Talk・Access・Protect・OSに影響するクリティカルな脆弱性7件を修正したことを発表しました。
筆頭となるCVE-2026-50746はコマンドインジェクション脆弱性で、ネットワークアクセス権さえあれば特権なしにホストデバイスを乗っ取れる可能性があります。

  • UniFi Connect・Talk・Access・Protect・OSなど主力製品に計7件のクリティカル脆弱性
  • CVE-2026-50746(コマンドインジェクション)はネットワーク内からデバイスを乗っ取れる最大深刻度
  • 日本の企業・政府機関・学校で広く採用されているため即時アップデートが必要

この記事では、今回修正された脆弱性の内容と影響範囲、そして対応策を解説します。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

修正された7件の脆弱性と影響を受けるUniFi製品

今回のセキュリティアップデートで修正された脆弱性の全体像を整理します。

CVE-2026-50746:コマンドインジェクションで最も深刻な脆弱性

7件のうち最も深刻なのは、UniFi Connect Applicationに影響するCVE-2026-50746です。
この脆弱性は不適切なアクセス制御(Improper Access Control)により、ネットワークへのアクセス権を持つ攻撃者がホストデバイス上でコマンドインジェクション攻撃を実行できます。
特権アカウントを必要とせずネットワーク内からデバイスを乗っ取れるため、内部からの攻撃や侵害済み端末からの横展開に悪用される恐れがあります。

今回修正された7件のCVEと影響製品は以下の通りです。

CVE番号影響製品修正バージョン
CVE-2026-50746(最重要)UniFi Connect Application3.4.20以上
CVE-2026-50747UniFi Talk最新版へ更新
CVE-2026-50748UniFi Access最新版へ更新
CVE-2026-54400UniFi Protect最新版へ更新
CVE-2026-54402UniFi OS最新版へ更新
CVE-2026-55115 / CVE-2026-55116複数製品最新版へ更新

UniFiが普及している日本企業・政府機関への影響

チップス

Ubiquitiって日本でそんなに使われているんでしゅか?

ボス

コストパフォーマンスが高く、管理画面も直感的なため、中小企業やスタートアップはもちろん、病院・学校・政府機関など多くの場所で採用されている。だからこそ今回のパッチは影響範囲が広い。

Ubiquiti UniFiシリーズは、Wi-Fiアクセスポイント・ネットワークスイッチ・セキュリティカメラなどを統合管理できる製品群として知られています。
エンタープライズ級の機能をリーズナブルな価格で提供しているため、中小企業から大手企業、官公庁まで幅広い組織での導入が進んでいます。

今回の脆弱性が特に危険な理由は以下の通りです。

  • ネットワーク機器はインターネットの入り口に位置するため、侵害されると内部全体が危険にさらされる
  • コマンドインジェクションで攻撃者がデバイスを制御すると、通信の盗聴・改ざん・遮断が可能になる
  • カメラ・アクセスポイントなどのIoT機器は更新が後回しになりがちで、長期間脆弱な状態が続く恐れがある

今すぐ取るべき対応策

UniFi製品を使用している組織が取るべき対策を整理します。

即時アップデートとネットワーク管理画面の公開範囲の見直し

Ubiquitiは影響を受けるバージョンの利用者に対し、即時アップデートを強く推奨しています。
UniFi Connect Applicationを使用している場合は、バージョン3.4.20以上への更新が必須です。
その他の製品についても、管理コンソールから最新バージョンへの更新を確認してください。

合わせて実施したい追加対策は以下の通りです。

  • UniFi管理コンソールへのアクセスをVPN経由または内部ネットワーク限定に制限する
  • インターネットに公開されているUniFiデバイスがないかShodan等で確認する
  • 不審な通信が発生していないか、UniFiのログを遡ってチェックする

まとめ

ボス

ネットワーク機器の脆弱性は、一点突破で組織全体を危険にさらす。社内にUniFi製品があるなら、今日中にバージョンを確認して更新作業を始めることだ。

チップス

わかりましゅ!すぐに管理コンソールにアクセスしてバージョン確認しましゅ!

Ubiquiti UniFiシリーズに発覚したCVE-2026-50746を含む7件のクリティカル脆弱性は、日本の多くの企業・機関が使用しているネットワーク機器に直接影響します。
コマンドインジェクション脆弱性は、ネットワーク内の攻撃者にデバイスの完全な制御権を与えるため、今すぐの対応が必要です。
まずUniFi Connectをバージョン3.4.20以上に更新し、その他の製品についても最新版へのアップデートを完了させてください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次