「ローカルで動かしているから安全」と思っていませんか? ローカルAIツール「Ollama」に、CVSSスコア9.1(CRITICAL)の重大な脆弱性(CVE-2026-7482)が発見されました。放置するとAPIキー・環境変数・会話データが外部に流出する可能性があります。この記事では脆弱性の仕組みをわかりやすく解説し、今すぐできる対策をまとめます。
CVE-2026-7482は Ollama v0.17.1 より前のバージョンに存在します。現在もそのバージョンを使用している場合は、記事末尾の対策手順を参照し、今すぐアップデートしてください。
CVE-2026-7482 とは何か?
CVE-2026-7482 は、OllamaのAIモデル読み込み処理に存在するバグです。正式な脆弱性データベース(NVD)では次のように説明されています。
Ollamaは「GGUF」という形式のAIモデルファイルを読み込む機能を持っています。このファイルの中には「データがどこに入っているか」を示す位置情報(テンソルオフセット・サイズ)が記録されています。本来、この位置情報はファイルの実際のサイズ内に収まっているはずですが、攻撃者が意図的に細工したファイルを使うと、Ollamaはその不正な位置情報を信じたまま処理を進め、コンピューターのメモリ(ヒープ)上の「余計な領域」まで読み出してしまいます。
🔎 わかりやすい比喩で言うと:
「本の目次に”500ページを開いて”と書いてあるのに、本は400ページしかない。そのままめくろうとしたら、隣に置いてあった別の書類まで読んでしまった」というイメージです。
「隣の書類」に相当するのが、コンピューターのメモリに存在する環境変数・APIキー・システムプロンプト・他ユーザーの会話データです。
技術的な詳細(エンジニア向け)
脆弱な処理は fs/ggml/gguf.go および server/quantization.go 内の WriteTo() 関数で発生します。GGUFヘッダーに記載されたテンソルデータのオフセット+サイズをそのまま信頼してメモリ読み取りを行うため、ファイルの実際の長さを超えた範囲のヒープバッファ外読み取り(CWE-125: Out-of-bounds Read)が生じます。
さらに問題なのは、生成された「汚染済みモデルアーティファクト」を /api/push エンドポイント経由で攻撃者が用意した外部レジストリにアップロードできる点です。これにより漏洩したメモリ内容が攻撃者のサーバーへ送信されます。
/api/create(モデル読み込み)と /api/push(外部送信)の両エンドポイントは、Ollamaのデフォルト設定では認証が存在しません。「誰でもAPIを叩ける」状態になっている環境では被害が拡大するリスクがあります。
なぜ「ローカルAIだから安全」とは言えないのか?
Ollamaはデフォルトで 127.0.0.1(自分のPCのみ)にバインドするため、通常はインターネットから直接アクセスされません。しかし現実には、パフォーマンス向上や複数端末からのアクセスのために OLLAMA_HOST=0.0.0.0 という設定(全ネットワークインターフェース公開)が広く使われており、NVDの解説でも「インターネット上に公開されているケースが多数観測されている」と明記されています。
また、LANに接続されている環境でも、同じネットワーク上の別の端末や悪意あるアプリから攻撃を受ける可能性があります。「外部公開していないから大丈夫」と安心するのは早計です。
CVE-2026-7482 の基本情報まとめ
| 項目 | 内容 |
|---|---|
| CVE ID | CVE-2026-7482 |
| 脆弱性の種類 | CWE-125:ヒープ境界外読み取り(Out-of-bounds Read) |
| 深刻度(CVSS 3.1) | 9.1 CRITICAL |
| 深刻度(CVSS 4.0) | 8.8 HIGH |
| 影響を受けるバージョン | Ollama v0.17.1 より前すべて |
| 修正済みバージョン | Ollama v0.17.1(2026年5月リリース) |
| 攻撃に認証は必要か | 不要(認証なし) |
| 漏洩の恐れがある情報 | 環境変数・APIキー・システムプロンプト・ユーザーの会話データ |
| NVD 公開日 | 2026年5月4日 |
| 修正コミット | 88d57d0(GitHub) |
攻撃が成立するシナリオ
この脆弱性はどのような状況で悪用されるのでしょうか。具体的なシナリオで見てみましょう。
シナリオ①:外部公開している Ollama サーバーへの直接攻撃
会社のサーバーや個人のNAS上でOllamaを OLLAMA_HOST=0.0.0.0 で動かしている場合、インターネット上の攻撃者が細工したGGUFファイルをAPIに送り込み、サーバー上の環境変数(データベースのパスワード、外部サービスのAPIキーなど)を窃取できます。
シナリオ②:LAN内の悪意あるユーザーからの攻撃
社内ネットワーク内でOllamaを共有利用している場合、同じLAN上の端末から細工ファイルを送ることで、サーバーメモリ上にある他ユーザーとの会話履歴を読み取られる可能性があります。
シナリオ③:悪意あるモデルファイルの配布による攻撃
攻撃者が細工したGGUFファイルを「便利なAIモデル」として公開し、ダウンロードしたユーザーが /api/create で読み込んだ瞬間に攻撃が発動するケースも考えられます。
信頼できない出所不明のGGUFモデルファイルは、絶対に読み込まないようにしてください。Ollama公式レジストリやHugging Face等の信頼できるプラットフォーム以外からダウンロードしたファイルには特に注意が必要です。
今すぐできる対策:4つのステップ
ステップ① Ollamaのバージョンを確認する
まず現在のバージョンを確認します。ターミナル(コマンドプロンプト)で以下のコマンドを実行してください。
Windows / Mac / Linux 共通:
ollama --version
表示されたバージョンが 0.17.0 以下であれば、今すぐアップデートが必要です。
ステップ② Ollama を最新版へアップデートする
macOS / Linux:
公式サイト(ollama.com/download)からインストーラーを再ダウンロードするか、以下のコマンドでアップデートします。
curl -fsSL https://ollama.com/install.sh | sh
Windows:
OllamaはWindowsでも自動更新が通知されます。タスクトレイのOllamaアイコンを右クリックし「Update」を選択、または公式サイトから最新インストーラーをダウンロードして再インストールしてください。
Docker 利用の場合:
docker pull ollama/ollama:latest で最新イメージを取得し、コンテナを再起動します。
ステップ③ 不要な外部公開を停止する
OLLAMA_HOST=0.0.0.0 の設定をしている場合は、本当に外部公開が必要かどうかを見直しましょう。自分のPCだけで使うなら OLLAMA_HOST=127.0.0.1(デフォルト)に戻すことを推奨します。
外部公開が必要な場合は、ファイアウォール・リバースプロキシ(nginx等)・Basic認証などを組み合わせてアクセス制御を実施してください。
ステップ④ APIキーなどの認証情報をローテーションする
もしOllamaを外部公開していた期間が長い、または不審なアクセスログがある場合は、Ollamaサーバーの環境変数に設定していたAPIキー・パスワード類を速やかに再発行・変更することを検討してください。
□ ollama --version でバージョンが v0.17.1以上になっている
□ OLLAMA_HOST=0.0.0.0 を使っている場合、ファイアウォールや認証を設定している
□ 外部公開していた期間のAPIキー・パスワードをローテーション済み
□ 信頼できるソース以外のGGUFファイルを読み込まないルールを確認した
□ Dockerコンテナの場合、最新イメージに更新してコンテナを再起動した
Ollama のセキュリティリスクを理解する:本サイト関連記事
今回の脆弱性は突然発生したものではなく、Ollamaのアーキテクチャが持つ構造的なリスクの延長線上にあります。以下の記事ではより広い視点でOllamaのセキュリティを解説しています。
- 📄 ローカルAI(Ollama)のデータ流出の防止方法
- 📄 ChatGPTより危険?ローカルAI「Ollama」の意外なセキュリティリスク
- 📄 8タイプの専門家エージェント会議:Ollamaのセキュリティリスクを多角的に斬る
本記事の情報は執筆時点(2026年5月)のものです。Ollamaは活発に開発が続いているOSSであり、セキュリティ情報は随時更新されます。最新情報は必ず公式GitHubのリリースページおよびNVD(CVE-2026-7482)でご確認ください。
まとめ
CVE-2026-7482はCVSSスコア9.1 CRITICALという非常に深刻な脆弱性で、認証なしでAPIキーや会話データが外部流出する可能性があります。対策は明快で、Ollama を v0.17.1 以上にアップデートするだけです。
「ローカルで動かしているから安全」という考えは今後通用しません。AIツールも通常のソフトウェアと同様に、定期的なアップデートとセキュリティ設定の見直しが欠かせない時代になっています。
まず今日、ollama --version を実行してみましょう。それだけで、あなたのデータを守る第一歩になります。
参考情報:NVD – CVE-2026-7482 / Ollama v0.17.1 Release Notes / GitHub PR #14406
コメント