Apache HTTP Server 2.4.68公開 13件の脆弱性を修正

世界で最も広く使われるWebサーバの一つ「Apache HTTP Server」に、まとまった脆弱性修正が入りました。Apache Software Foundationは2026年6月8日、バージョン2.4.68を公開し、2.4.0〜2.4.67に影響する13件の脆弱性をまとめて修正しています。とりわけ実務上の注意点は、HTTP/2の処理で過大なメモリ割り当てを引き起こし、1本の細工した通信だけでサーバを停止させうるサービス妨害（DoS）（CVE-2026-49975）です。今回の修正に「Critical（緊急）」評価のものはありませんが、インターネットに直接公開するWebサーバを抱える情シスにとっては、計画的な更新の対象として押さえておくべき内容です。

この記事でわかること

• Apache HTTP Server 2.4.68で修正された13件の脆弱性の全体像と深刻度
• 特に注意すべきHTTP/2のDoS（CVE-2026-49975）と権限昇格（CVE-2026-44119）の要点
• 自社のWebサーバ運用で情シスが今すぐ確認・判断すべきこと

何が起きたのか

Apache HTTP Server（httpd）は、企業のWebサイト・社内システム・リバースプロキシなどで広く稼働している定番のWebサーバソフトウェアです。今回リリースされた2.4.68は、その2.4系で見つかっていた13件の脆弱性をまとめて解消するメンテナンスリリースです。深刻度の内訳は、ベンダー評価でModerate（警告）が6件、Low（注意）が7件。今回のバッチには「Important」「Critical」はありません。

誤解を避けるために補足すると、HTTP/2まわりでRCE（リモートコード実行）の恐れがあったCVE-2026-23918（Important）は、一つ前の2.4.67（2026年5月4日公開）ですでに修正済みです。今回の2.4.68は、それに続いて残りの脆弱性を片付けた位置づけになります。「2.4.67を当てたから完了」ではなく、最新の2.4.68まで上げて初めて13件すべてに対応できる、という点が運用上のポイントです。

特に注意すべき脆弱性

CVE-2026-49975（Moderate）― HTTP/2のメモリ枯渇によるDoS

結論から言えば、公開Webサーバで最も気にすべきはこれです。mod_http2の処理に「過大なサイズのメモリ割り当て」を許す欠陥があり、認証を経ていない攻撃者が細工したHTTP/2リクエストを送ることで、サーバのメモリを急速に食い潰してサービスを停止させられる可能性があります。影響範囲は2.4.17〜2.4.67と広く、HTTP/2を有効にした公開サーバは前提条件を満たしやすいのが厄介な点です。なお本件は、外部研究者がAIコーディング支援（OpenAI Codex）を併用して発見・報告したと公表されており、脆弱性探索の現場でAIの活用が進んでいることもうかがえます。

CVE-2026-44119（Moderate）― .htaccessの式による権限昇格

こちらは、.htaccess内の式（expression）を悪用した権限昇格です。.htaccessはディレクトリ単位の設定をユーザー側で書ける仕組みのため、複数の利用者が同居する共有環境（マルチテナントのホスティングや、部署ごとに設定を委ねている社内サーバなど）では、本来許されない権限の取得につながる懸念があります。誰が.htaccessを書ける運用になっているかを思い浮かべながら確認したい項目です。

修正された13件の一覧

※ 深刻度はApache Software Foundationの評価。影響バージョンは特記のないものはおおむね2.4.0〜2.4.67。修正版は2.4.68。

影響を受ける環境

影響を受けるのは、原則として2.4.67以前の2.4系を使っているApache HTTP Serverです。ただし、実際に各脆弱性の前提を満たすかは、有効にしているモジュールに依存します。たとえばHTTP/2のDoS（CVE-2026-49975）はmod_http2を有効にしてHTTP/2を受け付けている場合に、権限昇格（CVE-2026-44119）は.htaccessで式を使える運用の場合に、それぞれ現実的なリスクになります。自社の構成（公開/内部、HTTP/2の有無、プロキシ用途、.htaccessの利用範囲）と照らし合わせて、優先度を判断するのが実務的です。

あわせて注意したいのが配布パッケージの存在です。RHEL系やUbuntuなどのLinuxディストリビューションは、独自にセキュリティ修正をバックポート（古いバージョンに修正だけ取り込む）して提供することが多く、バージョン番号が「2.4.68」になっていなくても、ディストリビューションの更新で対応済みのことがあります。本家のバージョン番号だけで判断せず、利用中のパッケージの更新情報も確認してください。

情シスはどうすべきか

過度に慌てる必要はありませんが、放置してよい話でもありません。次の順序で確認すると整理しやすいはずです。

• 棚卸し: 自組織でApache HTTP Serverを動かしている箇所（公開Webサイト、リバースプロキシ、社内アプリの前段など）を洗い出し、バージョンと有効モジュールを把握します。「いつの間にか立っている古いサーバ」が一番の盲点です。
• 優先度づけ: インターネットに直接公開し、かつHTTP/2を有効にしているサーバを最優先に。CVE-2026-49975のDoSは前提が緩く、可用性に直結します。次いで、複数利用者が.htaccessを書ける環境（CVE-2026-44119）を確認します。
• 適用: 本体は2.4.68へ、ディストリビューション利用なら提供元の更新を適用します。すぐ止められないサーバは、メンテナンス窓を確保しつつ、WAFやレート制限など既存の緩和策で当座をしのぐ判断も選択肢です。

脆弱性ハンドリング（公表情報の収集から自組織への影響評価、対応までの一連の流れ）を仕組みとして回したい場合は、IPA「脆弱性対策」の各種資料が出発点として有用です。中小規模で体制づくりから始めるなら、IPA「中小企業の情報セキュリティ対策ガイドライン」もあわせて参照してください。地味ですが、運用担当者が「どのサーバに何のソフトが入っているか」を平時から把握しておく台帳づくりこそ、こうした一斉修正の局面で効いてきます。

現場目線の所感

正直なところ、Apacheのような「枯れて当たり前に動いているソフト」ほど、更新の手が後回しになりがちです。アプリ本体の改修やインシデント対応に追われるなかで、「Webサーバのマイナーアップデート」は緊急度の判断が難しく、つい『次のメンテで』となってしまう。その気持ちは痛いほど分かります。それでも今回のように認証なしの1リクエストでサービスを落とせるDoSが混じっていると、止まったときの影響は事業そのものに跳ね返ります。すべてを即日当てるのは非現実的でも、せめて「公開・HTTP/2有効」のサーバだけは別枠で優先するといった線引きをしておくと、限られた人手でも守るべきものを守れます。バージョン番号を一覧で持っているかどうか――その差が、こういう日にじわりと出ます。

まとめ

• Apache HTTP Server 2.4.68（2026年6月8日公開）が、2.4.0〜2.4.67に影響する13件の脆弱性を修正。今回はLow/Moderateのみで、RCEの恐れがあったCVE-2026-23918は前版2.4.67で対応済み。
• 最優先はHTTP/2のメモリ枯渇によるDoS（CVE-2026-49975）。認証不要・単一接続で停止させうるため、公開＋HTTP/2有効のサーバから対応する。
• 本家は2.4.68へ、ディストリビューション利用なら提供元の更新で確認。即適用が難しければWAF・レート制限などで緩和しつつ計画的に更新を。

関連記事

• OpenSSLに18件の脆弱性、PKCS#7処理でRCEの恐れ
• Apache CXFに多数の脆弱性、OAuth2機能に集中
• Cisco SD-WAN Managerに脆弱性、悪用確認 CVE-2026-20262

出典

• Apache HTTP Server Project「Apache HTTP Server 2.4 vulnerabilities」 https://httpd.apache.org/security/vulnerabilities_24.html
• JPCERT/CC・IPA（JVN）「Apache HTTP Server 2.4 における複数の脆弱性に対するアップデート（JVNVU#99913823）」 https://jvn.jp/vu/JVNVU99913823/
• IPA「脆弱性対策」 https://www.ipa.go.jp/security/vuln/index.html
• IPA「中小企業の情報セキュリティ対策ガイドライン」 https://www.ipa.go.jp/security/guide/sme/index.html