「社内のネットワーク機器にUbiquitiを使っているけど、今回の脆弱性は大丈夫?」
「コマンドインジェクションって具体的にどんな被害が起きるんでしゅか?」
ボス、UbiquitiのUniFiって企業や学校でよく見かけますよね。今回7件も脆弱性が修正されたって本当でしゅか?
そうだ。最も深刻なCVE-2026-50746はコマンドインジェクション脆弱性で、ネットワークにアクセスできる攻撃者がホストデバイス上で任意のコマンドを実行できる。日本の企業や政府機関でも広く採用されているだけに、今すぐ確認が必要だ。
2026年7月8日、Ubiquitiは自社製品のUniFi Connect・Talk・Access・Protect・OSに影響するクリティカルな脆弱性7件を修正したことを発表しました。
筆頭となるCVE-2026-50746はコマンドインジェクション脆弱性で、ネットワークアクセス権さえあれば特権なしにホストデバイスを乗っ取れる可能性があります。
- UniFi Connect・Talk・Access・Protect・OSなど主力製品に計7件のクリティカル脆弱性
- CVE-2026-50746(コマンドインジェクション)はネットワーク内からデバイスを乗っ取れる最大深刻度
- 日本の企業・政府機関・学校で広く採用されているため即時アップデートが必要
この記事では、今回修正された脆弱性の内容と影響範囲、そして対応策を解説します。
目次
修正された7件の脆弱性と影響を受けるUniFi製品
今回のセキュリティアップデートで修正された脆弱性の全体像を整理します。
CVE-2026-50746:コマンドインジェクションで最も深刻な脆弱性
7件のうち最も深刻なのは、UniFi Connect Applicationに影響するCVE-2026-50746です。
この脆弱性は不適切なアクセス制御(Improper Access Control)により、ネットワークへのアクセス権を持つ攻撃者がホストデバイス上でコマンドインジェクション攻撃を実行できます。
特権アカウントを必要とせずネットワーク内からデバイスを乗っ取れるため、内部からの攻撃や侵害済み端末からの横展開に悪用される恐れがあります。
今回修正された7件のCVEと影響製品は以下の通りです。
| CVE番号 | 影響製品 | 修正バージョン |
|---|
| CVE-2026-50746(最重要) | UniFi Connect Application | 3.4.20以上 |
| CVE-2026-50747 | UniFi Talk | 最新版へ更新 |
| CVE-2026-50748 | UniFi Access | 最新版へ更新 |
| CVE-2026-54400 | UniFi Protect | 最新版へ更新 |
| CVE-2026-54402 | UniFi OS | 最新版へ更新 |
| CVE-2026-55115 / CVE-2026-55116 | 複数製品 | 最新版へ更新 |
UniFiが普及している日本企業・政府機関への影響
Ubiquitiって日本でそんなに使われているんでしゅか?
コストパフォーマンスが高く、管理画面も直感的なため、中小企業やスタートアップはもちろん、病院・学校・政府機関など多くの場所で採用されている。だからこそ今回のパッチは影響範囲が広い。
Ubiquiti UniFiシリーズは、Wi-Fiアクセスポイント・ネットワークスイッチ・セキュリティカメラなどを統合管理できる製品群として知られています。
エンタープライズ級の機能をリーズナブルな価格で提供しているため、中小企業から大手企業、官公庁まで幅広い組織での導入が進んでいます。
今回の脆弱性が特に危険な理由は以下の通りです。
- ネットワーク機器はインターネットの入り口に位置するため、侵害されると内部全体が危険にさらされる
- コマンドインジェクションで攻撃者がデバイスを制御すると、通信の盗聴・改ざん・遮断が可能になる
- カメラ・アクセスポイントなどのIoT機器は更新が後回しになりがちで、長期間脆弱な状態が続く恐れがある
今すぐ取るべき対応策
UniFi製品を使用している組織が取るべき対策を整理します。
即時アップデートとネットワーク管理画面の公開範囲の見直し
Ubiquitiは影響を受けるバージョンの利用者に対し、即時アップデートを強く推奨しています。
UniFi Connect Applicationを使用している場合は、バージョン3.4.20以上への更新が必須です。
その他の製品についても、管理コンソールから最新バージョンへの更新を確認してください。
合わせて実施したい追加対策は以下の通りです。
- UniFi管理コンソールへのアクセスをVPN経由または内部ネットワーク限定に制限する
- インターネットに公開されているUniFiデバイスがないかShodan等で確認する
- 不審な通信が発生していないか、UniFiのログを遡ってチェックする
まとめ
ネットワーク機器の脆弱性は、一点突破で組織全体を危険にさらす。社内にUniFi製品があるなら、今日中にバージョンを確認して更新作業を始めることだ。
わかりましゅ!すぐに管理コンソールにアクセスしてバージョン確認しましゅ!
Ubiquiti UniFiシリーズに発覚したCVE-2026-50746を含む7件のクリティカル脆弱性は、日本の多くの企業・機関が使用しているネットワーク機器に直接影響します。
コマンドインジェクション脆弱性は、ネットワーク内の攻撃者にデバイスの完全な制御権を与えるため、今すぐの対応が必要です。
まずUniFi Connectをバージョン3.4.20以上に更新し、その他の製品についても最新版へのアップデートを完了させてください。