NLnet Labsが開発するオープンソースの権威DNSサーバ「NSD(Name Server Daemon)」に、高深刻度(High)の脆弱性が4件まとめて確認されました。2026年6月25日、修正版のNSD 4.14.3が公開されており、該当バージョンを使用している組織は早急なアップデートが求められます。
この記事でわかること
- NSDに存在する4件の脆弱性(CVE-2026-12244/12245/12246/12490)の概要と影響バージョン
- RCEクラスが含まれる深刻な脆弱性の技術的ポイント
- 自組織での影響確認と対応の優先ステップ
NSDとは:どんな組織が使っているか
NSDはNLnet Labs(オランダ)が開発するオープンソースの「権威DNSサーバ」ソフトウェアです。権威DNSサーバは、ドメイン名とIPアドレスの対応(ゾーン情報)を保持し、外部からの問い合わせに応答する役割を担います。
BIND9と並ぶ主要なOSS権威DNSサーバとして、ISP・通信事業者、大学・研究機関、独自DNSインフラを持つ大規模企業で採用されています。一般的な企業情シスが社内で直接運用するケースは多くはありませんが、外部委託先やクラウドDNSサービスの裏側で使われている可能性があります。自社でLinux上の権威DNSサーバを運用している場合は確認が必須です。
確認された4件の脆弱性
すべて深刻度「High」と評価されています。2026年6月25日公開のNSD 4.14.3で一括修正されています。
| CVE番号 | 種別 | 影響バージョン | 概要 |
|---|---|---|---|
| CVE-2026-12244 | ヒープオーバーフロー | 4.14.0〜4.14.2 | 細工されたSVCB RRを含むAXFRゾーン転送受信時に最大65,509バイトの制御可能なヒープ書き込みが発生(RCEクラス) |
| CVE-2026-12245 | Use-After-Free(解放後利用) | 4.13.0〜4.14.2 | TLS接続エラーログ処理でプロセスがクラッシュ。任意のDoTクライアントがDNS over TLSサービスを停止させられる |
| CVE-2026-12246 | スタックオーバーフロー | 4.14.0〜4.14.2 | 細工されたAPL RRでゾーン書き込み時にスタックが上書きされる(最大111バイト、RCEクラス) |
| CVE-2026-12490 | 証明書検証バイパス | 4.10.1〜4.14.2 | TLS経由ゾーン転送時にクライアント証明書の検証が機能しないケースがあり、セキュリティ制御を回避可能 |
RCEクラスの2件に注目
CVE-2026-12244とCVE-2026-12246は、攻撃者が制御可能なデータでメモリ領域(ヒープ・スタック)を書き換えられる脆弱性です。条件が整えば任意コード実行(RCE)につながるクラスであり、DNSサーバというインフラの核心部分が侵害された場合の影響は非常に大きくなります。
CVE-2026-12244はセカンダリNSDがプライマリからゾーン転送(AXFR)を受ける構成でのみ発動するため、プライマリ専用運用の場合は該当しません。ただし、CVE-2026-12490の影響バージョンは4.10.1以降と広く、長期間アップデートしていない環境では複数の脆弱性が重なっている可能性があります。
影響を受ける環境の確認ポイント
- NSDを運用しているか確認する:
nsd --versionまたはnsd -vでバージョンを確認。4.14.2以前であれば要対応。 - CVE-2026-12490の影響範囲はより広い:4.10.1以降が対象のため、NSDを長期間アップデートしていない環境では特に優先度が高い。
- セカンダリ構成か確認する:CVE-2026-12244はプライマリから悪意あるゾーン転送を受けた場合に発生するため、セカンダリとして動作しているNSDは最優先で対応する。
- ISP・クラウドDNS経由の場合:SaaS型DNSサービスを利用している場合は、プロバイダからのアナウンスを確認する。
現場目線:「動いていて当たり前」の盲点
情シス担当者として率直に感じるのは、DNSサーバは「動いていて当たり前」の存在として脆弱性管理の死角に入りやすいという点です。メールサーバやWebサーバと比べて稼働確認の頻度が低く、特にISP委託や自部門管轄外のサーバは、脆弱性公表から対応確認までのラグが長くなりがちです。
権威DNSサーバは外部公開インフラの基盤であり、ここが侵害されると名前解決の改ざんが可能になります。「うちはNSDを使っていないはず」と思い込んで確認しないこと自体がリスクです。今回のリリースを機に、自組織の権威DNSサーバの種別・バージョン管理が台帳に載っているかを見直す好機でもあります。
情シスはどうすべきか
NLnet LabsはNSD 4.14.3へのアップデートを強く推奨しています。自組織でNSDを運用している場合は下記を参照してください。
- NLnet Labs セキュリティアドバイザリ(NSD) — 各CVEの詳細と修正パッチ
- DNS関連インフラの一般的なセキュリティ管理については、IPA 中小企業の情報セキュリティ対策ガイドラインも参照してください。
自社でNSDを直接運用していない場合でも、DNSサービスプロバイダへの問い合わせ・確認を推奨します。
まとめ
- NLnet Labsの権威DNSサーバNSDに高深刻度(High)の脆弱性4件(CVE-2026-12244/12245/12246/12490)が確認され、2026年6月25日公開のNSD 4.14.3で修正された。
- CVE-2026-12244・12246はRCEクラスのメモリ破壊、CVE-2026-12245はDoTサービス停止、CVE-2026-12490は証明書検証バイパスであり、いずれも実害につながりうる重大な内容。
- NSDを直接または間接的に利用している組織は速やかに4.14.3へのアップデートを確認し、利用実態が不明な場合もプロバイダへの問い合わせで確認すること。
出典
- NLnet Labs NSD セキュリティアドバイザリ:https://nlnetlabs.nl/projects/nsd/security-advisories/
- oss-sec メーリングリスト(脆弱性詳細):https://seclists.org/oss-sec/2026/q2/1029
- Security NEXT(報道):https://www.security-next.com/186525
