無償のリモートアクセスツール「UltraVNC」に、計10件の脆弱性が判明しました。特に中継用コンポーネント「UltraVNC Repeater」には、認証なしで遠隔から任意コード実行(RCE)が可能なCVSS 9.8の脆弱性と、既定パスワードが設定される脆弱性という2件のクリティカルが含まれます。インターネットに面したRepeaterを運用している場合は、最優先での更新が必要です。
この記事でわかること
- 何が起きたのか(対象バージョンとCVEの内訳)
- 特に危険な2件のクリティカル脆弱性の中身
- 自社が影響を受けるかの確認ポイント
- 情シスが今すぐ取るべき対応
何が起きたのか
UltraVNCは、Windows向けに広く使われている無償のリモートデスクトップ/遠隔支援ツールです。今回、開発元および脆弱性データベース(NVD)を通じて、バージョン1.8.2.2およびそれ以前に影響する計10件の脆弱性が公表されました(NVDでの公表は2026年7月1日、国内では7月7日に報道)。うち2件が「クリティカル」、1件が「重要(High)」、残りが中〜低リスクという内訳です。
脆弱性は大きく分けて、(1)通信を中継する「Repeater」に関するもの、(2)接続する側の「Viewer」に関するもの、の2系統に分かれます。深刻度が高いのは前者のRepeaterです。
影響を受けるのはどんな環境か
UltraVNC本体(Server/Viewer)に加え、NAT越えや複数拠点の接続集約に使うUltraVNC Repeaterを運用している環境が対象です。特にRepeaterをインターネットからアクセスできる場所に置いている場合、リスクは格段に高まります。社内で「誰がいつ入れたか分からない」まま常駐している遠隔支援ツールがないか、この機会に棚卸しすることをおすすめします。
特に危険な2件のクリティカル脆弱性
10件のうち、まず塞ぐべきはRepeaterの以下2件です。
CVE-2026-7840:認証前に遠隔からコード実行(CVSS 9.8)
Repeaterに組み込まれたHTTP管理サーバのバッファオーバーフロー脆弱性です。エラー応答やHTTPヘッダを生成する処理が、攻撃者が指定したリクエストURIを固定長(1000バイト)のバッファへ無検査で書き込むため、長いURIを送るだけでバッファがあふれます。問題はこの処理が認証チェックより前に走る点で、認証情報を一切持たない攻撃者が、Repeaterの管理ポートに到達できれば任意コードを実行できてしまいます。CVSSv3.1で9.8(v4.0で9.3)と、事実上の最高ランクです。
CVE-2026-7839:既定パスワードが設定される(CVSS 9.1)
設定ファイルが存在しない初回起動時などに、Repeaterの管理画面にハードコードされた既定パスワードが設定される脆弱性です。攻撃者が既定の資格情報を使って管理者としてログインできてしまうため、設定の改ざんや中継の乗っ取りにつながります。「導入したまま初期設定を見直していないRepeater」がそのまま穴になる、典型的な運用の落とし穴と言えます。
Viewer側にも1件のHigh
接続する側のViewerには、サーバからの初期メッセージ(RFB ServerInit)処理におけるスタックバッファオーバーフロー(CVE-2026-7831、CVSS 7.6)があります。悪意あるVNCサーバに接続させられた場合にViewer側が攻撃を受け得るもので、「不用意に見知らぬVNCサーバへ接続しない」という運用面の注意も必要です。このほか、認証チャレンジに暗号学的に弱い乱数を使う問題(CVE-2026-44040)などの中〜低リスク脆弱性も併せて修正されています。
自社が影響を受けるかの確認ポイント
情シスとして、まず次を確認してください。
- UltraVNCおよびRepeaterの利用有無とバージョン。1.8.2.2以前なら対象です。無償ツールは各部門が独自に導入しているケースが多く、資産管理から漏れがちです。
- Repeaterの公開範囲。管理ポートやRepeaterポートがインターネットや広い社内セグメントから到達可能になっていないか。CVE-2026-7840は認証前に成立するため、到達可能性そのものがリスクです。
- 既定パスワードのまま運用していないか。CVE-2026-7839への一次的な緩和として、管理パスワードを推測困難なものへ変更します。
情シスはどうすべきか
対応の軸はシンプルで、最新版への更新です。開発元は修正を進めており、Repeaterのセキュリティ修正を含む1.8.2.3(2026年6月)に続き、最新の1.8.2.4が公式サイトで配布されています。可能な限り最新版へ更新してください。すぐに更新できない場合は、暫定策としてRepeater管理ポートへのアクセスをファイアウォールで信頼できる範囲に限定し、既定パスワードを変更した上で、そもそもインターネットに直接公開しない構成へ見直します。
より根本的には、こうした「便利だから入れたまま」の遠隔支援ツールを定期的に棚卸しし、使っていないものは止める運用が効きます。脆弱性が出るたびに個別対応する消耗戦を避けるには、資産の可視化と、無償ツールの野良導入を抑える利用ルールの徹底が近道です。攻撃の起点になりやすい外部公開資産の管理については、IPAの中小企業の情報セキュリティ対策ガイドラインが、体制づくりから具体策までを実務目線で整理しており参考になります。日々のユーザ啓発の観点では対策のしおりも併せて活用してください。
現場の実感として、この種の無償ツールは「誰かが一度入れて、そのまま忘れられる」ことが本当に多いものです。脆弱性の深刻度以上に、「自社のどこで動いているか把握できていない」こと自体が最大のリスクだと感じます。今回のように認証前RCEが出ると、把握できていない1台がそのまま侵入口になり得ます。
まとめ
- UltraVNC 1.8.2.2以前に計10件の脆弱性。特にRepeaterのCVE-2026-7840(CVSS 9.8, 認証前RCE)とCVE-2026-7839(既定パスワード, CVSS 9.1)が危険。
- 最優先の対応は最新版(1.8.2.4)への更新。すぐに難しければ管理ポートのアクセス制限と既定パスワード変更で暫定緩和する。
- 根本策は遠隔支援ツールの棚卸しと外部公開資産の可視化。IPAの公的指針を土台に、野良導入を抑える運用ルールを整える。
出典
- Security NEXT「リモートアクセスツール『UltraVNC』に複数の脆弱性」 https://www.security-next.com/186896
- NVD – CVE-2026-7840 https://nvd.nist.gov/vuln/detail/CVE-2026-7840
- UltraVNC 公式ダウンロード(1.8.2.4) https://uvnc.com/downloads/ultravnc/167-ultravnc-1-8-2-4.html

