WatchGuard FireboxのVPN機能に深刻なRCE脆弱性、CVSS9.2
認証なしで乗っ取り可能。WatchGuard FireboxのVPN機能に最悪値「クリティカル」の脆弱性、今すぐ自社の構成確認を
外部からの安全な通信経路を確保するための「VPN」が、皮肉にもハッカーを無条件で組織内へ招き入れるフリーパスになってしまう――そんな致命的な脆弱性が発表されました。
ネットワークセキュリティ大手であるWatchGuard(ウォッチガード)のゲートウェイ製品において、認証を一切経ることなく、リモートからシステムを完全に掌握(乗っ取り)されるおそれのあるセキュリティホールが発覚。共通脆弱性評価システムで最高度の「クリティカル」と判定されたこの問題は、特定のネットワーク構成を組んでいる企業に甚大な影響を及ぼします。なぜ今この対応が最優先なのか、対象となる構成とバージョン情報を解説します。
WatchGuard Fireboxに深刻な脆弱性、修正版が公開
米WatchGuard Technologies(ウォッチガード・テクノロジーズ)は、同社を代表するセキュリティ統合ゲートウェイ/ファイアウォール製品「WatchGuard Firebox」のVPN機能に、極めて深刻な脆弱性が存在することを明らかにしました。
同社は事態を受け、このセキュリティホールを修正するためのセキュリティアップデート(ファームウェアの修正版)を急遽リリース。対象となる機器を運用している管理者に対し、不正アクセスや被害を未然に防ぐため、自社の運用環境の確認と迅速なアップデートを強く呼びかけています。
脆弱性の詳細と影響範囲
同社が現地時間2026年7月2日に公開したセキュリティアドバイザリによると、今回の脆弱性はFireboxを制御する「Fireware OS」に実装されているリモートアクセス機能、「Mobile User VPN with IKEv2」のLDAP認証処理に存在しています。この脆弱性には、共通脆弱性識別子として「CVE-2026-13368」が割り当てられました。
この脅威が影響を及ぼすのは、「VPNの認証基盤として、外部のLDAPサーバー(Active Directoryなど)と連携する構成」を採用している環境に限定されます。
バグの機序としては、認証の通信処理中に「競合状態(レースコンディション)」が発生。これにより、すでに解放されたはずのメモリ領域をシステムが誤って使用してしまう状態(Use-After-Free)が引き起こされます。最悪の場合、サイバー攻撃者は有効なIDやパスワードを一切持っていなくとも、ネットワーク経由でリモートから認証プロセスを完全にすり抜け、標的の機器上で任意の不正なコマンドを実行できる(RCE:リモートコード実行)恐れがあります。
このため、共通脆弱性評価システムである「CVSSv4.0」におけるベーススコアは、10点満点中「9.2」という極めて高い数値を記録。危険度は4段階評価で最も高い「クリティカル(Critical)」と定義されており、組織の防衛網を文字通り破綻させかねない最凶レベルの脆弱性として位置づけられています。
修正版と注意点
WatchGuardは、この最悪のシナリオを回避するための修正ファームウェアとして、「Fireware OS 2026.2.1」および「同 12.12.1」を正式にリリースしました。外部LDAP連携を行っているユーザーは、これらの安全なバージョンへ即座に更新することが推奨されます。
しかし、今回の発表においてIT担当者が最も警戒すべき盲点がここにあります。広く普及しているモデルである「T15」および「T35」向けのファームウェア「同 12.5.x」については、現時点でこの脆弱性が修正されておらず「未修正」のステータスのままとなっています。さらに、旧世代のファームウェアである「同 11.x」については、すでにメーカー側の公式サポート自体が終了(EOL)しているため、今後も修正プログラムが提供される見込みはありません。
現時点での注意点
今回の公表を総合すると、影響を直接受けるのは「外部LDAPサーバーをVPN認証に組み込んでいる環境」という特定の条件を満たす組織です。自社がFirebox内で完結するローカル認証を使っている場合は当面の危機を免れますが、アカウントの一元管理のためにLDAP連携を組んでいる中堅・中小企業にとっては、ネットワークの正面玄関が無防備になるリスクを意味します。
何より、メーカーからパッチが提供されている安全なバージョンと、現時点でパッチが未提供(T15/T35)、あるいはサポート自体が終了しているバージョンが明確に切り分けられているため、ユーザー企業は「パッチを当てる」という選択肢が取れない場合も含め、自社の環境に即した運用の決断と言い留め(回避策)を施すことが強く求められています。
今回のWatchGuardのインシデントが浮き彫りにしたのは、ユーザー管理の効率化のために行う「外部LDAP連携」という利便性が、認証処理のバグ(競合状態)によって最大の脆弱性へと反転してしまうという、システム連携特有の怖さです。CVSSスコア「9.2」が示す通り、ハッカーが認証をすり抜けてファイアウォール(Firebox)そのものを踏み台にすれば、社内ネットワーク全体の機密データへのアクセスやランサムウェアの流布が容易に達成されてしまいます。
特に今回の発表でIT管理者が頭を抱えるべきは、一部の人気モデル(T15/T35)や旧OSにおいて「パッチが適用できない」という過酷な現実です。現場が今すぐ下すべき防衛の判断基準は以下の3点です。
- 「外部LDAP連携」有無の即時棚卸し:自社のFireboxにおいて、リモートアクセス機能(Mobile User VPN with IKEv2)の認証ソースとしてLDAPやActive Directoryを参照させているか、今すぐ設定画面で構成を確認する。
- 未修正モデル(T15/T35・11.x)における「認証方式の一時変更」:もし自社がT15やT35、あるいはサポート終了の11.xを使用しており、LDAP連携を組んでいる場合は、パッチがリリースされるか機器をリプレイスするまでの間、LDAP連携を一時的に停止し、影響を受けないローカル認証等へ切り替える運用上のワークアラウンド(緊急回避策)を断行する。
- 安全なファームウェアへの即日アップデート:修正版(2026.2.1 / 12.12.1)が適用可能な現行モデルを運用している組織は、業務への影響が少ない夜間帯などにスケジュールを組み、一刻も早いファームウェアのアップデートを実施する。
「ファイアウォールを入れているから安心」というハードウェアへの過信は禁物です。機器のバージョンだけでなく、その「設定の組み合わせ」に潜むクリティカルな死角を、今すぐ防衛ラインから排除しましょう。

