2026年3月、オープンソースのNginx管理ツールであるnginx-uiにおいて、深刻な認証バイパス脆弱性CVE-2026-33032が公開されました。「MCPwn」と名付けられた本脆弱性は、CVSS v3.1で9.8(Critical)と評価されており、実際の攻撃に悪用されていることが確認されています。本件が注目される理由は、単なる認証漏れにとどまらず、MCP(Model Context Protocol)の統合過程で発生した構造的なセキュリティ欠陥である点にあります。さらに、別途公開されたCVE-2026-27944と組み合わせることで、インターネットに公開された環境においても完全な未認証のサーバー乗っ取りが可能になります。
本記事では、CVE-2026-33032の技術的な原因とチェーン型攻撃シナリオを分析し、外部に公開されたnginx-uiインスタンスがどのような攻撃対象領域を形成するのかを考察します。
CVE-2026-33032 脆弱性概要
| 項目 | 内容 |
|---|---|
| 脆弱性ID | CVE-2026-33032 (MCPwn) |
| 影響製品 | nginx-ui |
| 脆弱性タイプ | 認証バイパス (CWE-306) |
| CVSSスコア | 9.8 (Critical) |
| 影響バージョン | nginx-ui v2.3.3 以下 |
| 修正バージョン | v2.3.4 (2026年3月リリース) |
| 悪用状況 | 実際の攻撃での悪用が確認 |
nginx-uiはWebベースのインターフェースを通じてNginxの設定を管理できるツールであり、最近ではMCP機能の追加によりAIベースの自動化機能が提供されるようになりました。しかし、この機能追加の過程で、一部エンドポイントに認証検証が適用されていない問題が発生しました。
技術的な原因: ミドルウェアの設定漏れ
MCP統合は、以下の2つのHTTPエンドポイントを基盤として動作します。
/mcp:認証+IPホワイトリスト適用/mcp_message:IPホワイトリストのみ適用(認証欠如)
問題は、/mcp_messageエンドポイントに認証ミドルウェア(AuthRequired())が適用されていなかった点にあります。
さらに、IPホワイトリストのデフォルト値が空であり、システムはこれを「すべて許可(allow-all)」として解釈します。その結果、デフォルト設定のままでは/mcp_messageは実質的に完全な未認証エンドポイントとして公開されます。つまり、単一のリクエストだけでNginxサーバー全体を制御できる状態となります。
パッチ(v2.3.4)は比較的シンプルに修正されています。/mcp_messageに認証ミドルウェアを追加し、両エンドポイントに認証が適用されるよう変更されました。この修正が初期段階から適用されていれば、本脆弱性は発生しなかった可能性があります。そのため、今回のnginx-ui MCPwnは、わずか一行のコード欠如がサーバー全体の乗っ取りにつながった典型的な事例といえます。
CVE-2026-27944とのチェーン:外部環境における完全な攻撃
CVE-2026-33032単体でも、LAN内では未認証攻撃が可能です。しかし、インターネットに公開された環境では、CVE-2026-27944(CVSS 9.8)と組み合わせることで、外部からでも完全な未認証によるサーバー乗っ取りが可能になります。CVE-2026-27944は、/api/backupエンドポイントを通じて認証なしでバックアップデータをダウンロードできる脆弱性です。この過程で、以下の情報が漏えいします。
- ユーザーアカウント情報
- SSL秘密鍵(Private Key)
- Nginx設定
- node_secret(MCP認証キー)
攻撃者はこれらの情報を利用してバックアップデータの取得および復号を行えるほか、node_secretの取得、/mcpリクエストによるセッション生成、/mcp_messageリクエストによるコマンド実行などが可能になります。つまり、わずか2回のリクエストだけでサーバー全体の乗っ取りが成立する状況となります。
想定される攻撃シナリオ
脆弱性公開後、PoCコードがすでに公開されている状況において、観測される攻撃フローは以下の通りです。
- 外部に公開されたnginx-uiインスタンスの特定
- /api/backupへのアクセスによる機密情報の取得
- MCPセッションの生成および認証バイパス
- Nginx設定の改ざん
その後、以下のような追加攻撃が可能になります。
- トラフィックの傍受および悪性リダイレクト
- 管理者認証情報の窃取
- Webシェルの設置および持続性の確保
- サービス停止の誘発
これは単なる脆弱性悪用にとどまらず、Webインフラ全体の乗っ取りにつながる攻撃シナリオです。Pluto SecurityのYotam Perkal研究員は、「既存アプリケーションにMCPを追加する際、MCPエンドポイントはアプリケーションの機能を継承するが、必ずしもセキュリティ制御まで継承するわけではない」と指摘しています。これは結果として、既存の認証メカニズムを回避するバックドアを生み出すことにつながると説明しています。
CVE-2026-33032は、MCP統合に起因する最初の脆弱性ではありません。同じ研究チームが同時期に公開したAtlassian MCPサーバー(mcp-atlassian)の脆弱性であるCVE-2026-27825(CVSS 9.1)およびCVE-2026-27826(CVSS 8.2)では、ローカルネットワーク環境においてこれらを組み合わせることで未認証のリモートコード実行が可能となっていました。2026年1月から2月の2か月間で30件以上のMCP関連CVEが報告され、そのうち約13%が認証バイパスに分類されています。このような傾向は、AI統合機能を既存アプリケーションへ追加する際に、セキュリティ制御が一貫して適用されない構造的な問題が繰り返されていることを示しています。
Criminal IPで観測された外部公開nginx-ui資産
インターネットに公開されたnginx-uiインスタンスの実態を把握するため、Criminal IPを用いて外部公開資産を観測しました。
Criminal IP 検索クエリ: title: nginx ui
nginx-uiのWebコンソールはページタイトルにサービス名をそのまま表示する特徴があるため、HTMLタイトルベースの検索だけでも外部から識別可能な管理インターフェースを効果的に検出できます。このクエリはMCP機能の有効化有無に関係なく、nginx-ui管理コンソール自体が外部に公開されているすべてのインスタンスを把握できます。また、CVE-2026-27944(/api/backupの未認証アクセス)の影響を受ける資産の特定にも活用でき、両脆弱性を組み合わせた攻撃対象を同時に把握するうえで有用です。
本クエリによる検知の結果、2026年4月時点で約800件の資産が公開されていることが確認されました。これらの資産は単なる公開状態にとどまらず、攻撃者が直接アクセス可能な管理インターフェースがインターネット上に露出していることを意味します。特に2つの脆弱性が組み合わさるシナリオでは、追加条件なしで即時に攻撃可能な高リスク対象となる可能性があります。
上記は外部に公開されたnginx-ui資産の一例をCriminal IPで詳細分析した結果です。当該資産は高いリスクレベルと評価されており、外部からのトラフィックが悪性挙動と関連する可能性がある状態です。特にSSH(22)、HTTP(80)、HTTPS(443)などのポートが同時に開放されていることが確認されています。これは単なるWebサービスではなく、実運用環境において管理機能とサービス機能が同時に公開されている構成を示しており、攻撃者にとって複数の侵入経路が存在する状況です。また、15件の脆弱性およびExploit DB関連項目が検出されている点からも、既知の攻撃手法が適用される可能性のある環境といえます。このような状態でnginx-uiの脆弱性(CVE-2026-33032)が存在する場合、攻撃者は管理インターフェースを通じて設定変更、トラフィック操作、サービス制御などへと攻撃範囲を拡大できます。
結果として、当該資産は単一の脆弱性にとどまらず、複数ポートの公開、既知脆弱性の存在、管理インターフェースへのアクセス可能性が組み合わさった高リスクの攻撃対象領域として評価されます。
パッチ状況および対応策
CVE-2026-33032は、2026年3月にリリースされたnginx-ui v2.3.4で修正されました。当該バージョンでは、/mcp_messageエンドポイントに認証ミドルウェアが追加され、MCP関連のすべてのエンドポイントに対して認証が一貫して適用されるよう改善されています。また、チェーン攻撃に利用されるCVE-2026-27944はv2.3.3で修正されているため、両脆弱性に対応するには最低でもv2.3.4以上へのアップデートが必要です。ただし、一部のバージョン情報では影響範囲や修正バージョンが異なる形で記載されているケースもあるため、実際の適用時には公式リリースノートを基準にバージョン状態を確認することが推奨されます。
即時のアップデートが難しい環境では、以下の暫定対策を実施する必要があります。
/mcp_messageエンドポイントに認証が適用されているか確認し、必要に応じて強制設定- IPホワイトリストのデフォルトポリシーをallow-allからdeny-allへ変更
- nginx-ui 管理ポート(デフォルト9000)への外部アクセスを遮断
/api/backupエンドポイントに対するネットワークレベルでのアクセス制限- nginx 設定ファイル(conf.d/、sites-enabled/)およびアクセスログにおける不正変更の有無を確認
特に本脆弱性は単なるサービス障害ではなく、設定変更やトラフィック制御権限の奪取につながる可能性があるため、侵害の可能性が確認された場合は認証情報や機密情報の更新が不可欠です。
また、侵害有無の確認のため、以下のような挙動ベースの点検が求められます。
/mcp_messageの呼び出し履歴および不審なAPIリクエストの検出- Nginx 設定ファイルにおける予期しない変更履歴の確認
- トラフィックリダイレクトやプロキシ設定の異常有無の点検
- nginxプロセスの再起動およびreload履歴の分析
本件の重要なポイントは、単にパッチを適用することではなく、管理インターフェースの公開状況や設定変更権限が外部に露出していたかどうかを確認することにあります。そのため、パッチ対応とあわせて、外部公開資産の点検およびアクセス制御の強化を並行して実施することが重要です。
FAQ
Q1. nginx-uiが内部ネットワークのみに公開されている場合は安全ですか。
LAN内のみでアクセス可能な環境であっても、CVE-2026-27944とのチェーンを利用しなくても、/mcp_messageエンドポイントへ直接アクセスが可能です。つまり、内部ネットワークへの公開だけでも、同一ネットワーク内の攻撃者によってNginxサーバーが完全に乗っ取られる可能性があります。内部環境であっても安全とはいえず、アップデートおよびMCP機能の無効化を優先的に実施する必要があります。
Q2. MCP機能を使用していなくても影響はありますか。
v2.3.3以下を使用している場合、MCP機能を利用していなくてもエンドポイント自体が有効化されている可能性があります。また、CVE-2026-27944についてはMCPとは無関係に、/api/backupエンドポイントのみで認証情報全体が漏えいする可能性があります。両脆弱性に対する唯一の完全な対策は、v2.3.4へのアップデートです。
結論
CVE-2026-33032(MCPwn)は、2つの観点から注目すべき脆弱性です。技術的には、わずか一行のミドルウェア未適用がNginxサーバー全体を無防備な状態にする結果を招きました。セキュリティトレンドの観点では、AI統合機能が既存アプリケーションのセキュリティ制御を回避し、新たな攻撃対象領域を形成するパターンが繰り返されていることを示しています。nginx-uiを運用している組織は、速やかにv2.3.4へアップデートするとともに、当該インスタンスが外部からアクセス可能な状態にないかを優先的に確認する必要があります。多数のインスタンスがインターネット上に公開され、PoCコードも公開されている現状では、パッチ適用が遅れているすべての資産が即時に攻撃対象となる可能性があります。脆弱性の有無と同様に重要なのは、その脆弱性を持つ資産がどこに公開されているのかを把握することです。
なお、関連して CVE-2026-34197: Apache ActiveMQ RCE脆弱性分析 記事もご参考ください。
Criminal IP(criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP(https://www.criminalip.io/ja), SecurityAffairs (https://securityaffairs.com/190841/hacking/cve-2026-33032-severe-nginx-ui-bug-grants-unauthenticated-server-access.html), SECURITYWEEK (https://www.securityweek.com/exploited-vulnerability-exposes-nginx-servers-to-hacking/), TheHackerNews (https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html)
