Axios 1.15 系 バージョン互換性ガイド｜CVE-2026-40175 修正後の移行実務FAQ集

CVSS 10.0 の CVE-2026-40175 を受けて Axios を v1.15.0 以降に更新する企業が相次いでいる。ただし、package-lock.json の処理、間接依存のnetwork、monorepo の依存解消、Next.js/Nuxt のバージョン制約など、実務上の互換性トラブルが多発している状況だ。

本記事では、Axios 1.15 系への移行で実際に発生する互換性トラブルを、React/Next.js/Node.js/Nuxt などの環境別に整理し、実務FAQ 形式で解決策をまとめる。情シス・開発者向けの実務リファレンスとして。

---

目次

1. 1.15 系の変更概要
2. 移行で最も多いトラブル3種
3. 環境別の互換性（React / Next.js / Node.js / Nuxt）
4. package-lock.json / yarn.lock 処理の実務
5. Monorepo での依存解消
6. FAQ（実務頻出20問）

---

1.15 系の変更概要

Axios v1.15.0 は CVE-2026-40175（Prototype Pollution → RCE）の修正に加え、以下の変更を含む。

• Prototype Pollution 対策：レスポンスヘッダー処理の厳格化
• TypeScript 型定義の軽微修正：稀に型エラーが出るケースあり
• ブラウザ環境での挙動変更：`XMLHttpRequest` モードのデフォルト設定が変わる場合あり

Breaking changes は最小限に抑えられているが、厳密な TypeScript 利用や独自のインターセプターを持つプロジェクトでは、テストの再実行が必須。

セクションまとめ： セキュリティ修正が中心で破壊的変更は最小限。ただし型定義と独自インターセプターは再検証する。

---

移行で最も多いトラブル3種

トラブル1：間接依存で古いバージョンが残る

`npm ls axios` で複数バージョンが出るケース。他のライブラリが古い Axios に依存している。

解決：

それでも残る場合：

トラブル2：TypeScript の型エラー

`AxiosRequestConfig` や `AxiosResponse` の型定義が微変更され、厳密な型チェック環境で警告が出るケース。

解決：

• `@types/axios` を使っていれば削除（Axios 本体に型定義が含まれるため）
• `tsc --noEmit` で全体の型チェックを再実行
• 必要に応じて `as AxiosRequestConfig` で明示キャスト

トラブル3：interceptor の挙動変化

独自の request/response interceptor が、レスポンスヘッダー処理の厳格化で想定外の挙動を示すケース。

解決：

• interceptor で `response.headers` を直接改変している箇所を確認
• `Object.assign` でのマージを `...spread` に置き換え
• テスト環境で interceptor 動作を確認

セクションまとめ： 8割のトラブルは「間接依存の残留」。package-lock.json の削除と再インストール + overrides で解決する。

---

環境別の互換性

React（CRA / Vite）

• 影響小：大半のプロジェクトは直接依存のみ
• 注意点：MSW（Mock Service Worker） との併用環境で interceptor 動作を要確認

Next.js

• App Router / Pages Router 共通で動作
• SSR 時の Axios 利用が多いため、API Routes の動作確認を推奨
• Next.js 14.x / 15.x 両方で動作確認済み

Node.js（Express / Fastify / NestJS）

• Node.js 18.x 以降で動作
• Node.js 18 未満は EoL のためそもそも非推奨
• NestJS の HttpService 経由でも動作

Nuxt / Vue.js

• Nuxt 3.x：`@nuxtjs/axios` は非推奨、`$fetch` への移行が推奨
• Nuxt 2.x：`@nuxtjs/axios` の最新版で 1.15 系対応

React Native

• Axios 自体は動作するが、fetch API の使用を推奨するケースも
• iOS / Android の通信系ネイティブモジュールとの組み合わせで稀に問題

セクションまとめ： 主要フレームワークは概ね問題なく動作。Next.js は SSR 動作の確認、Nuxt 3 は `$fetch` 移行検討を同時に進める。

---

package-lock.json / yarn.lock 処理の実務

npm の場合

yarn の場合

pnpm の場合

セクションまとめ： 各パッケージマネージャーで overrides/resolutions の記法が違う。間接依存が残るなら強制指定が確実。

---

Monorepo での依存解消

Turbo / Nx / Lerna / pnpm workspaces などの monorepo では、各パッケージが独自に Axios を持つ場合がある。

1. ルートの package.json で一元管理

2. 各パッケージで Axios の直接依存を統一

3. CI パイプラインに `npm audit` を組み込む

セクションまとめ： monorepo は overrides を root に置き、CI で audit を自動化する。漏れ防止の仕組み化が鍵。

---

---

FAQ（実務頻出20問）

Q1. `npm audit fix` で解決しないのですが？

間接依存の制約で自動修正できないケース。`overrides` または `resolutions` で強制的にバージョン指定を。

Q2. CI で `npm audit` の警告を無視したい

`--audit-level=high` で High 以上のみチェック、`--omit=dev` で devDependencies を除外。ただし完全無視は非推奨。

Q3. 古い Nuxt 2 プロジェクトで `@nuxtjs/axios` のアップデートが通りません

`@nuxtjs/axios` 5.x → 6.x の移行が同時に必要。ドキュメントに従って段階的に。

Q4. Storybook / Jest テストで Axios のモックが効かなくなった

interceptor の挙動変化の影響。axios-mock-adapter のバージョンも最新化を。

Q5. Webpack の警告「Should not use prototype」が出るように

Prototype Pollution 対策の一環。Webpack 5 で警告、動作は問題なし。

Q6. React Native の iOS で通信エラーが増えた

`timeout` 設定がデフォルト変更された影響の可能性。`timeout` 明示的設定を。

Q7. Next.js 12 系でも 1.15 に上げられますか？

上げられるが、Next.js 12 は EoL。Next.js 14 以降への更新も同時検討を。

Q8. MSW（Mock Service Worker）のテストが落ちる

MSW 2.x へのアップデートが必要なケース。Axios のレスポンス処理の厳格化に対応。

Q9. Electron アプリで動作が不安定

Electron の Node 側と Renderer 側で別々に Axios を持っている可能性。両方を更新する。

Q10. SvelteKit で型エラー

`@sveltejs/kit` の最新化 + TypeScript の `strict: true` との組み合わせで調整。

Q11. Cypress の XHR スタブが機能しなくなった

Cypress 13 以降を推奨。古い Cypress は interceptor の動作変化に追従していない。

Q12. プロジェクトが独自 fork の Axios を使っている

フォークに CVE 修正パッチを同等に適用する必要あり。本家 1.15.0 のdiff参照。

Q13. package.json の `"overrides"` が効かない

npm 8.3 未満では未対応。`npm --version` で確認し、npm 9+ にアップデート。

Q14. CI の Docker イメージで古い Node.js が使われている

node:18-alpine など、18 以降のイメージに更新。古い Node.js は EoL。

Q15. 監査ログで Axios バージョン違いが複数記録される

一時的な現象の可能性。キャッシュクリア + 再デプロイで解消するケースが多い。

Q16. CDN 配信の Axios はどうすべき？

バージョン固定で v1.15.x を使う。latest 指定は避ける（自動アップデートでブレークすることがある）。

Q17. Deno / Bun で Axios 1.15 は動きますか？

動作する。ただし Deno / Bun の `fetch` 利用を推奨するコミュニティ意見もある。

Q18. 社内プロキシ経由で動作しなくなった

`httpsAgent` 設定の互換性。NodeJS バージョンと合わせて確認。

Q19. Prototype Pollution 対策で、自前で同等の検証を入れているがもう不要？

不要。Axios 1.15.0 以降で標準対応。重複防御は性能低下の原因になる場合あり。

Q20. CVE-2026-40175 以降、さらに別の CVE が出た場合どうする？

Dependabot / Renovate で自動PR 作成を有効に。週次で確認する運用を。

---

参考情報

• Axios GitHub リポジトリ「v1.15.0 Release Notes」
• npm Security Advisory「axios < 1.15.0」
• NIST NVD「CVE-2026-40175」
• GitHub Advisory Database

---

GXO実務追記: サイバーセキュリティで発注前に確認すべきこと

この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。

まず決めるべき3つの論点

論点	確認する内容	未整理のまま進めた場合のリスク
目的	売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか	成果指標が曖昧になり、PoCや開発が終わっても投資判断できない
範囲	対象部署、対象業務、対象データ、対象システムをどこまで含めるか	見積もりが膨らむ、または重要な連携が後から漏れる
体制	自社責任者、現場担当、ベンダー、保守運用者をどう置くか	要件確認が遅れ、納期遅延や品質低下につながる

費用・期間・体制の目安

フェーズ	期間目安	主な成果物	GXOが見るポイント
事前診断	1〜2週間	課題整理、現行確認、投資判断メモ	目的と範囲が商談前に整理されているか
要件定義 / 設計	3〜6週間	要件一覧、RFP、概算見積、ロードマップ	見積比較できる粒度になっているか
PoC / MVP	1〜3ヶ月	検証環境、効果測定、リスク評価	本番化判断に必要な数値が取れるか
本番導入	3〜6ヶ月	本番環境、運用設計、教育、改善計画	導入後の運用責任と改善サイクルがあるか

発注前チェックリスト

• [ ] 重要システムと個人情報の所在を棚卸ししたか
• [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
• [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
• [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
• [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
• [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか

参考にすべき一次情報・公的情報

• IPA 情報セキュリティ
• JPCERT/CC
• NISC
• OWASP Top 10
• NIST Cybersecurity Framework

上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。

GXOに相談するタイミング

次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。

• 見積もり依頼前に、要件やRFPの粒度を整えたい
• 既存ベンダーの提案が妥当か第三者視点で確認したい
• 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
• 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
• PoCや診断で終わらせず、本番導入と運用改善まで進めたい

関連記事

• Axios CVSS 10.0 RCE脆弱性 緊急対応ガイド
• 2026年AIプラットフォーム脆弱性マップ
• ゼロトラストセキュリティ導入ガイド

---

---