結論:Axios を 1.15.0 以上に即時アップデートしてください
2026年4月9日、JavaScript の HTTP クライアントライブラリ Axios に CVSS 10.0(最高深刻度)の脆弱性 CVE-2026-40175 が公開された。
この脆弱性は Prototype Pollution を起点として リモートコード実行(RCE) に至り、最終的には クラウド環境全体の侵害 に発展し得る。CVSS 10.0 は「リモートから・認証不要で・完全に侵害可能」を意味する最高レベルの深刻度だ。
Axios は npm で 週間1億ダウンロード超 を誇る、Node.js エコシステムで最も広く使われているHTTPライブラリの一つであり、影響範囲は極めて広い。自社で Node.js アプリケーションを運用している場合は、本日中に確認と対応を完了してほしい。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
CVSS 10.0 とは何を意味するのか
CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を 0.0〜10.0 で評価する業界標準の指標だ。10.0 は 理論上の最高値 であり、以下の条件がすべて揃うことを意味する。
| 評価項目 | CVE-2026-40175 の評価 |
|---|---|
| 攻撃元区分 | ネットワーク(リモートから攻撃可能) |
| 攻撃条件の複雑さ | 低(特別な条件なく攻撃可能) |
| 必要な特権レベル | なし(認証不要) |
| ユーザー関与 | 不要(被害者の操作なしで攻撃成立) |
| 機密性への影響 | 高(情報の完全な漏洩) |
| 完全性への影響 | 高(データの完全な改ざん) |
| 可用性への影響 | 高(サービスの完全な停止) |
過去にCVSS 10.0を記録した脆弱性としては、Log4Shell(CVE-2021-44228)が有名だ。CVE-2026-40175 は Axiosの利用規模を考えると、同等以上の影響範囲 を持つ可能性がある。
攻撃の仕組み:3段階で被害が拡大する
CVE-2026-40175 の攻撃は以下の3段階で進行する。
第1段階:Prototype Pollution
攻撃者は Axios のレスポンスヘッダー処理に存在する不備を悪用し、JavaScript の Object.prototype を汚染する。具体的には、細工したHTTPレスポンスヘッダーにより、すべてのJavaScriptオブジェクトに不正なプロパティが注入される。
Prototype Pollution 自体は「オブジェクトのプロパティが予期せず上書きされる」という比較的地味な脆弱性に見えるが、今回はここから次の段階に繋がることが問題だ。
第2段階:リモートコード実行(RCE)
汚染されたプロトタイプにより、Node.js の child_process モジュールや eval 相当の機能が悪用可能になる。攻撃者は任意の OS コマンドをサーバー上で実行できる状態になる。
第3段階:クラウド環境全体の侵害
RCE を確立した攻撃者は、以下の経路でクラウド環境全体に被害を拡大させる。
- サーバーに保存された環境変数(.env)からデータベース認証情報やAPIキーを窃取
- クラウドのメタデータサービス(AWS IMDSv1 等)からIAMロールの一時認証情報を取得
- 取得した認証情報を使ってS3バケット、RDS、他のサービスに横展開
この3段階の攻撃チェーンにより、1つの脆弱なAxiosパッケージからクラウドインフラ全体が侵害される。
「うちのアプリケーション、Axiosを使っているか分からない」
Node.jsアプリケーションの依存関係の調査からパッチ適用の支援まで対応しています。まずは現状のリスクを可視化しましょう。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
影響範囲:npm Axios パッケージを利用する全 Node.js アプリケーション
| 項目 | 内容 |
|---|---|
| 影響を受けるバージョン | Axios 1.15.0 未満のすべてのバージョン |
| 修正済みバージョン | Axios 1.15.0 以上 |
| 影響を受ける環境 | Node.js サーバーサイドアプリケーション(ブラウザ環境は影響が限定的) |
| npmでの週間ダウンロード数 | 約1億回(2026年4月時点) |
重要: Axios を直接 package.json に記載していなくても、他のライブラリの依存関係としてAxiosが含まれているケースが非常に多い。間接的な依存関係も含めて確認が必要だ。
確認方法:自社のプロジェクトにAxiosが含まれているか
npm を使用している場合
npm ls axios
このコマンドで、プロジェクト内のすべてのAxios(直接依存・間接依存を含む)のバージョンが表示される。
yarn を使用している場合
yarn list --pattern axios
pnpm を使用している場合
pnpm list axios --depth=Infinity
package-lock.json から直接確認する方法
package-lock.json をテキストエディタで開き、"axios" を検索する。"version" フィールドが 1.15.0 未満であれば、影響を受ける。
"axios": {
"version": "1.14.2", ← この値が 1.15.0 未満なら脆弱
...
}
注意: package-lock.json 内に複数の Axios エントリが存在する場合がある。すべてのエントリのバージョンを確認すること。
修正手順
直接依存の場合
# npm
npm update axios
# yarn
yarn upgrade axios
# pnpm
pnpm update axios
更新後、npm ls axios で 1.15.0 以上 になっていることを確認する。
間接依存(ネストした依存関係)の場合
他のライブラリが古い Axios に依存している場合、npm update axios だけでは更新されないことがある。
npm の場合:
npm update axios --depth=10
それでも更新されない場合は、package-lock.json を削除して npm install を再実行する。
rm package-lock.json
npm install
npm ls axios # 1.15.0以上であることを確認
yarn の場合:
yarn upgrade axios --latest
更新後のテスト
Axios のメジャーバージョンは変わらないため、基本的に後方互換性は維持される。ただし、以下の点を確認してほしい。
- APIリクエスト・レスポンスの正常動作
- カスタムインターセプターの動作
- エラーハンドリングの挙動
開発者向け:今後のサプライチェーンリスク対策
今回の脆弱性は、サプライチェーン攻撃のリスクを改めて浮き彫りにした。以下の対策を推奨する。
npm auditを CI/CD パイプラインに組み込む:ビルド時に脆弱な依存関係を自動検出する- Dependabot / Renovate を有効化する:依存関係の自動更新PRを生成する
- lock ファイルを必ずコミットする:
package-lock.json/yarn.lockをバージョン管理に含め、ビルドの再現性を確保する - 定期的な
npm auditの実行:月次で脆弱性スキャンを実施する
まとめ
| 項目 | ポイント |
|---|---|
| 脆弱性 | CVE-2026-40175(CVSS 10.0、Critical) |
| 影響 | Prototype Pollution → RCE → クラウド環境全体の侵害 |
| 影響範囲 | Axios 1.15.0 未満を使用するすべてのNode.jsアプリケーション |
| 対策 | Axios を 1.15.0 以上に即時アップデート |
| 確認方法 | npm ls axios / yarn list --pattern axios |
CVSS 10.0 の脆弱性は、対応の優先度が最高であることを意味する。自社でNode.jsアプリケーションを運用している場合は、本日中にAxiosのバージョン確認を完了してほしい。
よくある質問(FAQ)
Q1. フロントエンド(ブラウザ)でAxiosを使っている場合も影響を受けますか?
ブラウザ環境では Node.js の child_process モジュールが利用できないため、RCE(リモートコード実行)への発展は困難です。ただし、Prototype Pollution 自体はブラウザ環境でも発生し得るため、XSS(クロスサイトスクリプティング)等の別の攻撃に繋がる可能性があります。バージョンの更新は推奨します。
Q2. Axios の代替ライブラリに移行すべきですか?
現時点では、1.15.0 へのアップデートで脆弱性は修正されるため、即座に移行する必要はありません。ただし、Node.js 18以降では標準の fetch API が利用可能であり、長期的には外部依存を減らす方向で検討する価値はあります。
Q3. AWS / GCP / Azure のマネージドサービス上で動作しているアプリケーションも影響を受けますか?
はい。Lambda、Cloud Functions、Azure Functions などのサーバーレス環境でも、デプロイされたコードにAxios 1.15.0未満が含まれていれば影響を受けます。マネージドサービスのインフラ自体は安全ですが、アプリケーションコードの脆弱性はユーザーの責任範囲です。
Q4. npm audit を実行したら他にも脆弱性が表示されました。どの順番で対応すべきですか?
CVSS スコアが高い順に対応してください。Critical(9.0以上)→ High(7.0〜8.9)→ Medium(4.0〜6.9)→ Low(0.1〜3.9) の順です。今回の CVE-2026-40175 は CVSS 10.0 のため、最優先で対応すべきです。
参考情報
- GitHub Advisory Database「CVE-2026-40175: Axios Prototype Pollution to RCE」(2026年4月9日)
- npm Security Advisory「axios < 1.15.0」
- NIST National Vulnerability Database「CVE-2026-40175」
- Axios GitHub リポジトリ Release Notes v1.15.0
<!-- GXO_QUALITY_REWRITE_20260507_START -->
GXO実務追記: サイバーセキュリティで発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- 重要システムと個人情報の所在を棚卸ししたか
- VPN、管理画面、クラウド管理者の多要素認証を必須化したか
- バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
- 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
- EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
- インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
<!-- GXO_QUALITY_REWRITE_20260507_END -->【CVSS 10.0】Axios脆弱性(CVE202640175)|Prototype Pollutionからクラウド全体侵害へを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
関連記事
サプライチェーンリスク、自社で管理しきれていますか?
「npm audit は回しているけど、対応が追いつかない」「間接依存の脆弱性まで把握できていない」——そんな課題をお持ちなら、脆弱性管理の仕組みづくりから支援します。CI/CDへの自動スキャン組み込みからトリアージ基準の策定まで、開発チームと一緒に取り組みます。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
