CVE-2026-44222 vLLMのトークンインジェクション脆弱性によるサービス妨害への対策手順をAI Securityエンジニア向けに解説

結論

• 危険度: Medium (CVSS 6.5)
• 対象: vllm >= 0.6.1, < 0.20.0
• 修正: 0.20.0
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	5分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-44222はLLM推論エンジンのvLLMにある脆弱性です。バージョン0.6.1から0.19.xまでで、認証なしに特殊トークンを不正注入でき、画像や動画のマルチモーダル処理でクラッシュを誘発できます。攻撃者はワーカーを停止させてサービスを妨害できるため、LLMゲートウェイや運用者には最優先対応が必要です。

やさしく説明すると

想像してください。あなたの家の玄関に電子錠がついていますが、特定の合鍵の形をした「合言葉」を郵便箱に入れるだけで家のシステムが勝手に止まってしまう状態です。vLLMのこの脆弱性は、画像や動画を扱う特別な「鍵」の扱いが誤っており、悪意ある「合言葉（特殊トークン）」を送りこむだけで、システムの一部が止まってしまいます。結果としてサービスが停止しやすくなるわけです。

技術的な原因

この脆弱性はCWE-129「配列インデックスの不正検証」に該当します。vLLMのマルチモーダル処理において、画像や動画のプレースホルダーシーケンスが正しくない場合、空のグリッドを参照しようとします。この時、入力位置計算中にIndexErrorが発生し、例外処理が不足しているためワーカーがクラッシュします。特殊トークンをテキストプロンプトに無認証で注入できるため、悪用が容易です。

影響を受けると何が困るか

• vLLMを利用するLLMゲートウェイやインフラがサービス停止（DoS）に陥る
• 画像・動画のマルチモーダルAI処理が途中で止まり、可用性が低下する
• サービス停止は顧客体験を悪化させ、ビジネスリスクになる
• AI GatewayやAgentフレームワークを運用するSRE/セキュリティチームの運用負荷増大
• バイブコーダーなどAI駆動開発者が利用している場合、バックエンド処理が不安定になるリスク

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVSS v3.1スコアは6.5（Medium）。攻撃はネットワーク経由で低権限で実行できるが、対象は可用性停止（DoS）で機密性・完全性への影響はない。
• EPSS（悪用予測スコア）は提供されていません。
• ランサムウェアによる悪用観測は現在のところありません。
• 公開PoCやエクスプロイトコードはありません。GitHub Advisory Databaseに報告はありますが、コードは公開されていません。
• 攻撃は認証なし・ユーザ操作不要で可能。ただしvLLMの特定マルチモーダル機能（画像・動画処理）が対象です。

誰が動くべきか

• vLLMを本番投入しているLLM Gateway運用チーム(LiteLLM/OpenRouter等)
• Agentフレームワークやマルチモーダル機能を利用しているAIインフラ/セキュリティチーム
• vLLMベースのRAG（検索応答生成）パイプライン保守者
• バイブコーダー開発者でvLLMを利用した環境を組み込んでいる場合

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
vLLM	0.6.1 以上、0.20.0 未満	0.20.0

バージョン確認コマンド

Python (pip)

pip show vllm

出力例:

Name: vllm
Version: 0.19.5
Summary: vLLM inference engine for LLMs

判定: バージョンが0.6.1以上で0.20.0未満なら脆弱

Python (pip) – 簡易リスト確認

pip list | grep vllm

出力例:

vllm         0.15.0

判定: バージョンが0.6.1以上で0.20.0未満なら脆弱

設定確認

この脆弱性は特定の入力形式（画像・動画プレースホルダー）に起因するため、設定変更で無効化は困難です。設定依存ではないため、バージョンが対象範囲なら脆弱です。

Nucleiテンプレートでの検出

現在、本CVEに対応する公開Nucleiテンプレートは提供されていません。検出はバージョン確認で行ってください。

STEP 4: 修正を適用する

パッチ適用

Python (pip) アップグレード

pip install --upgrade vllm

出力例:

Successfully installed vllm-0.20.0

判定: バージョンが0.20.0以上になれば修正済み

注意: アップグレード前に必ず運用環境のバックアップを取得しましょう。ステージング環境で動作確認後、本番適用してください。アップグレード作業時はダウンタイム計画を準備してください。

パッチ即時適用ができない場合の暫定対応

ベンダーから公式の暫定対応案は提示されていません。ネットワークレベルでマルチモーダルの特殊トークンを含む入力を遮断できる場合は検討してください。ただし根本的な解決は修正版への更新のみです。

STEP 5: 修正されたことを確認する

STEP 3で使った以下のバージョン確認コマンドを再度実行してください。

期待される出力

Python (pip)

pip show vllm

出力例:

Name: vllm
Version: 0.20.0
Summary: vLLM inference engine for LLMs

判定: バージョンが0.20.0以上ならOK

Python (pip) – 簡易リスト確認

pip list | grep vllm

出力例:

vllm         0.20.0

判定: 修正済みバージョンが表示されればOK

追加で確認すべきこと

修正後も不審なクラッシュやサービス停止が発生していないかログを監視してください。公開Nucleiテンプレートがないため、引き続き情報収集をおすすめします。

補足: 悪用観測状況

CVE-2026-44222については現在、ランサムウェア等の悪用観測情報はありません。公開されたPoCコードもゼロであり、GitHub Advisory Databaseに報告はありますが、悪用情報や攻撃コードは確認されていません。

補足: CVSSメトリクス詳細

• AV (攻撃元): NETWORK（ネットワーク経由で攻撃可能）
• AC (攻撃複雑度): LOW（攻撃手順が簡単）
• PR (必要権限): LOW（低い権限で実行可能）
• UI (ユーザ操作): NONE（ユーザ操作不要）
• S (スコープ): UNCHANGED（攻撃範囲は変わらず）
• C (機密性影響): NONE（機密情報漏洩なし）
• I (完全性影響): NONE（データ改ざんなし）
• A (可用性影響): HIGH（サービス停止などの影響大）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3のバージョン確認を行い、脆弱なバージョンならSTEP 4のアップグレード作業を実施してください。具体的なコマンドは本文内に記載しています。

Q. パッチが適用できない場合、どうすればよいですか？

A. 公式の暫定対応はありませんが、特定の入力を遮断するネットワーク対策や影響範囲の限定を検討してください。早急にアップグレード計画を立ててください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 現時点で攻撃観測はありませんが、ログ監視で不審なクラッシュや異常終了をチェックしてください。攻撃インジケータ（IOC）は未公開です。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の技術的深刻度を示しますが、EPSSは「実際に悪用される確率」を表します。両方確認することで優先対応度がより正確に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-129「配列インデックスの不正検証」は類似の脆弱性が他製品でも報告されることがあります。特にマルチモーダル処理系で注意が必要です。

参考文献

• NVD – CVE-2026-44222詳細
• GitHub Advisory Database – vLLM Token Injection脆弱性
• vLLM公式GitHub Issue

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• Medium脆弱性 に関するCVE・脆弱性記事一覧
• LLM に関するCVE・脆弱性記事一覧
• inference-server に関するCVE・脆弱性記事一覧