脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新更新履歴CriticalHighAWSGCPAzureLinux
Critical CVSS 9.8 KEV 悪用確認 ランサムウェア悪用
CVE-2026-48027

Nx Console 悪意あるバージョン公開によるサプライチェーン侵害(資格情報窃取)

CVE IDCVE-2026-48027
製品Nx / Nx Console (VS Code 拡張)
CVSS9.8(Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
種別 (CWE)CWE-506 埋め込まれた悪意あるコード
登録/公開日2026/05/27
KEV 期限2026/06/10 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従い緩和策を適用。緩和策が無ければ製品の使用を停止(CISA KEV)。
出典https://nvd.nist.gov/vuln/detail/CVE-2026-48027

概要

2026-05-19 12:30 UTC に Nx Console の悪意あるバージョン 18.95.0 が公開され、約18分後の 12:48 UTC に削除された。この短時間に取得された拡張は難読化ペイロードを取得し、ディスク上やメモリ上の複数ソースから資格情報を窃取する挙動を持つ。Nx Console は Nx/Lerna 向けの開発者UI拡張で、当該時間帯に更新・インストールした開発者環境が影響を受ける。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
影響開発端末の Nx Console を正規版へ更新し、露出し得た AWS アクセスキー/一時認証情報をローテーション
AWS 側の脆弱性ではなく、窃取され得た資格情報の失効・IAM 監査が対応の要点。
参照リンク
GCP パッチあり(アプリ更新)
Nx Console を正規版へ更新し、露出し得た GCP サービスアカウント鍵/トークンをローテーション
GCP 側の脆弱性ではなく資格情報の失効が要点。
参照リンク
Azure パッチあり(アプリ更新)
Nx Console を正規版へ更新し、露出し得た Azure 資格情報/PAT をローテーション
Azure 側の脆弱性ではなく資格情報の失効が要点。
参照リンク
Linux パッチあり(アプリ更新)
Linux 開発端末でも悪意あるバージョンを削除し正規版へ更新。ローカルの認証情報を棚卸し・ローテーション。
OS パッケージではなくエディタ拡張の問題。開発端末(OS 問わず)で対応。
参照リンク

CVE-2026-48027 の対応手順(環境別)

確認できた公式情報に基づく環境別の対応手順です。実施前に必ず一次情報と自環境で検証してください。

  1. AWS 環境での対応
    影響開発端末の Nx Console を正規版へ更新し、露出し得た AWS アクセスキー/一時認証情報をローテーション(AWS 側の脆弱性ではなく、窃取され得た資格情報の失効・IAM 監査が対応の要点。) 参照
  2. GCP 環境での対応
    Nx Console を正規版へ更新し、露出し得た GCP サービスアカウント鍵/トークンをローテーション(GCP 側の脆弱性ではなく資格情報の失効が要点。) 参照
  3. Azure 環境での対応
    Nx Console を正規版へ更新し、露出し得た Azure 資格情報/PAT をローテーション(Azure 側の脆弱性ではなく資格情報の失効が要点。) 参照
  4. Linux 環境での対応
    Linux 開発端末でも悪意あるバージョンを削除し正規版へ更新。ローカルの認証情報を棚卸し・ローテーション。(OS パッケージではなくエディタ拡張の問題。開発端末(OS 問わず)で対応。) 参照

解決の方向性(パッチ/回避策/代替)

悪意あるバージョン 18.95.0 を直ちに削除し、クリーンな正規版へ更新する。当該時間帯に取得した可能性がある環境では、拡張が触れ得るトークン/資格情報(クラウドキー・npm/GitHub トークン・SSH 鍵等)を失効・ローテーションする。CI/開発端末のシークレット棚卸しを行う。

よくある質問(CVE-2026-48027)

CVE-2026-48027(Nx Console)の影響は?

Critical(CVSS 9.8)に分類されるNx Nx Console (VS Code 拡張)の脆弱性です。2026-05-19 12:30 UTC に Nx Console の悪意あるバージョン 18.95.0 が公開され、約18分後の 12:48 UTC に削除された。この短時間に取得された拡張は難読化ペイロードを取得し、ディスク上やメモリ上の複数ソースから資格情報を窃取する挙動を持つ。Nx Console は Nx/Lerna 向けの開発者UI拡張で、当該時間帯に更新・インストールした開発者環境が影響を受ける。

CVE-2026-48027 の対応方法・回避策は?

悪意あるバージョン 18.95.0 を直ちに削除し、クリーンな正規版へ更新する。当該時間帯に取得した可能性がある環境では、拡張が触れ得るトークン/資格情報(クラウドキー・npm/GitHub トークン・SSH 鍵等)を失効・ローテーションする。CI/開発端末のシークレット棚卸しを行う。

自分の環境が CVE-2026-48027 の影響を受けるか確認するには?

Nx Nx Console (VS Code 拡張) を利用している場合、稼働バージョンが影響範囲に含まれるかを一次情報(https://nvd.nist.gov/vuln/detail/CVE-2026-48027)で確認してください。AWS・GCP・Azure・Linux それぞれの対応状況は本ページの「クラウド/OS 別の対応状況」表にまとめています。確認できていない項目は「情報確認中」と明記しており、存在しないパッチ番号・バージョンは記載していません。

CVE-2026-48027 は実際に悪用されている?

はい。CISA の既知の悪用された脆弱性カタログ(KEV)に登録されており、実環境での悪用が確認されています。米国連邦機関向けの対応期限の目安は 2026/06/10 です。推奨される対応: ベンダー指示に従い緩和策を適用。緩和策が無ければ製品の使用を停止(CISA KEV)。

関連する脆弱性

同じ製品・ベンダー・脆弱性種別の掲載中CVE。あわせて対応状況を確認できます。

同種別(CWE-506 埋め込まれた悪意あるコード)のCVE
免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る