NGINX on 思いつきそうで思いつかなくていたときに

メモリの境界を守れ——NGINX・Linux・npmで同時進行する「土台の作り直し」（2026年6月22日）

Mon, 22 Jun 2026 07:30:00 +0900

こんにちは！コンテンツ制作部のライターです。

今日のテーマを一言で言うと「 私たちの足元の土台は、いま「メモリの安全」と「信頼の連鎖」を守るために作り直されている 」です。

一見バラバラに見える6月20日〜22日の5つのニュースが、実は1本の糸でつながっています。世界の約3割のWebサーバーを握るNGINXに見つかったクリティカルな脆弱性、21年越しの夢を新参者がかなえたKDE Plasma 6.7、6年がかりで危険な関数をカーネルから根絶したLinux、Perforceの独占に挑むEpic Games製のRust製バージョン管理ツール、そして88分で144パッケージを汚染したnpmサプライチェーン攻撃。攻める側も守る側も、結局は「メモリの境界」と「信頼の連鎖」を巡る攻防に収束していく——そんな密度の濃い3日間を、5本立てでお届けします。

まずは本日のYouTube動画からどうぞ！

今日のトピック

1. 世界の3割を握るNGINXに緊急パッチ——HTTP/3のメモリバグCVE-2026-42530

まずは緊急度で言えばこの3日間の最重要ニュースから。世界のWebサーバー市場で約 31.9% （2026年6月21日時点のW3Techs調査）を握るNGINXに、HTTP/3 QUIC実装を起点とするクリティカルな脆弱性 CVE-2026-42530 が見つかり、開発元のF5が6月17日にアウトオブバンド（定例外）の緊急パッチ、NGINX 1.31.2をリリースしました。CVSS v4.0で 9.2（Critical） という、放置できないスコアです。

中身を噛み砕くと、HTTP/3のヘッダ圧縮（QPACK）の処理に潜む「 use-after-free （解放済みメモリの再利用）」のバグです。攻撃者が細工したHTTP/3セッションで、すでに存在するエンコーダストリームを途中で「再オープン」しようとすると、解放されたはずの管理用メモリがまだ参照されたまま使われてしまう。未認証のリモート攻撃者がワーカープロセスをクラッシュさせ（サービス妨害）、条件が揃えばリモートコード実行（RCE）にまで発展しうる、というのが核心です。「未認証」「リモート」という2語が並ぶ時点で、防御側は身構える必要があります。

救いもあります。HTTP/3 QUICはNGINXのデフォルトでは無効で、設定ファイルに明示的に listen 443 quic; と http3 on; を書いた環境だけが対象です。脆弱なのもOpen Sourceでは 1.31.0と1.31.1の2バージョンのみ で、本番でよく使われる安定板1.30.x系は影響を受けません。ただし同日公開のもう1つの脆弱性 CVE-2026-42055 （HTTP/2・gRPCプロキシのヒープバッファオーバーフロー、CVSS 7.3）は1.13.10〜1.31.1という極めて広いレンジに及びます。「うちはHTTP/3を使っていないから無関係」と早合点せず、こちらも合わせてパッチを当てるのが正解です。なお、調査時点でF5は「野生での悪用は確認されていない」としています。

出典: F5 issues out-of-band patches for critical NGINX vulnerabilities - BleepingComputer / CVE-2026-42530 - IONIX

2. 21年越しの夢を「PHPエンジニア」がかなえた——KDE Plasma 6.7とX11最後の砦

緊張感のあるセキュリティの話から、少し空気を変えて。2026年6月16日にリリースされた KDE Plasma 6.7 は、2つの歴史的な意味を持つバージョンです。1つは2005年から 21年間 も未解決だった「画面ごとに独立した仮想デスクトップ」をWayland限定でついに実装したこと。もう1つは、これがX11セッションを正式に提供する 最後のKDE Plasma になると位置づけられたことです。

目玉のper-screen仮想デスクトップは、複数モニター環境で各画面ごとに独立して仮想デスクトップを切り替えられる機能。「サブモニターには資料を固定したまま、メインだけ作業空間を切り替えたい」という長年の願いをかなえます。この要望がバグトラッカーに登録されたのは2005年6月12日。以後 18件の重複バグと117名のCC登録者 を集めながら、誰も解決できずに放置されてきました。

それを解決したのが、意外な人物でした。本業はC++とほぼ無縁の フルタイムPHPエンジニア で、QtもCMakeも未経験。古いノートにPlasmaを入れてわずか数か月後にマージリクエストを開いた、完全な新参者です。動機は「Waylandの小数スケーリングを使いたいのに、この機能がないことがブロッカーだった」という実用的なもの。「自分が欲しいから作った」が、結果的にコミュニティ20年越しの宿願を成就させたわけです。

そしてもう1つの節目、X11の終わり。次の6.8（2026年10月14日リリース予定）からはX11セッション固有のコードが削除され、ログイン画面はWaylandのみになります。判断の根拠は移行率の数字で、Plasma 6.6ユーザーのすでに 95%以上 がWaylandを使っています。とはいえ全員が納得したわけではなく、X11存続を望む有志は SonicDE というフォークを立ち上げました。なお「X11セッションの終わり」と「X11アプリの終わり」は別物で、互換レイヤーのXWaylandは引き続きサポートされるので、古いアプリも動き続けます。

出典: Plasma 6.7 - KDE Community / A PHP Dev Just Solved a 20+ Year-Old KDE Plasma Problem - It’s FOSS

3. 6年・362コミットの地味で偉大な旅——Linux 7.2が危険な関数strncpyを根絶

ここで、派手さはないけれど長い目で見れば今日のどのニュースよりも大きいかもしれない話を。Linuxカーネル7.2のマージウィンドウで、2026年6月20日、危険なC文字列関数 strncpy() の全使用箇所がカーネルから完全に除去されました。2020年8月に起票されたKSPP Issue #90を起点に、 70名のコントリビューターによる362コミット が約 6年かけて積み重なった末の、ひとつの「バグクラスの根絶」です。

strncpy() の何が危険なのか。最大の問題は NUL終端を保証しないこと です。コピー元が長いと、文字列の終わりを示すゼロバイトを書かずに終わってしまう。そのバッファを後で読むコードは、割り当て領域を超えてゼロが現れるまでメモリを読み続けてしまいます。カーネルメモリにはパスワードや暗号鍵が散在しているので、これはそのまま情報漏洩に直結する——トピック1のNGINXで起きた「メモリ境界を越えて読む」use-after-freeと、根は同じ問題なのです。

面白いのは、この作業が単純な一括置換で済まなかった点。呼び出し箇所ごとに「NUL終端が必要」「固定幅の非終端フィールドが必要」「既知長データのバイトコピーで十分」と意図がバラバラで、機械的に置換すると誤った関数を選んでしまう。だからこそ、コードレビューを伴う手作業が6年分も必要でした。筆頭はGoogleのJustin Stitt氏で、なんと全体の 58%にあたる211コミット を一人で書き分けています。1人のエンジニアの粘り強さが、メモリ安全という防御の正体なのだと教えてくれます。バグを検出するのではなく、バグを書く手段そのものを消す。この発想は、後で出てくるEpicのLoreやMastra事件への対策とも、根底でつながっています。

出典: Linux Finally Eliminates The strncpy API After Six Years - Phoronix / Remove all strncpy() uses · Issue #90 - KSPP/linux

4. Perforceの数十年の独占に挑む——Epic GamesがRust製VCS「Lore」を公開

開発ワークフローの世界からも大きな一手が出ました。Epic Gamesが6月17日、Unreal Engine 5.8の発表と同時に、新しいバージョン管理システム（VCS） 「Lore」 をオープンソース公開したのです。 Rust で実装され MITライセンス で提供されるLoreは、ギガバイト級のバイナリアセットを扱うゲーム開発の現場で、長く有料独占が続いてきたPerforceに正面から挑みます。GitHubリポジトリは公開数時間で 2,850件以上のスター を集め、コミュニティの反応は「新しいVCSが出た」という驚きよりも「ようやく誰かが本気で取り組んだ」という安堵感が支配的だったと報じられています。

なぜ既存ツールでは不十分なのか。GitとGit LFSはバイナリファイルを「二級市民」として扱い、フラグメント単位の重複排除ができません。一方Perforce Helix Coreはバイナリ管理に実績があるものの、1ユーザーあたり約 39ドル/月 のパーシート課金は大規模チームには重く、100人のスタジオなら年間1万ドル超に。さらに独占的なプロトコルはサードパーティ製ツールの実装を事実上不可能にしています。

Loreはこの双方の欠点を埋めます。ハッシュには高速で並列処理に強い BLAKE3 を採用し、リポジトリ状態をMerkleツリーで表現。重複排除はファイル全体ではなく フラグメント（チャンク）単位 で行うため、4GBのテクスチャを5%変更しても、変わったチャンクだけを再アップロードすれば済みます。スパースcheckoutは「オプション」ではなく構造的な前提として設計され、コミットやブランチ操作はオフラインで完結。プロトコルは公開仕様なので、誰でも独自のクライアントやサーバーを実装できます——Perforceの独占への直接的なアンチテーゼですね。ただし正直な注意点も。バージョンは0.8.3で、Epic自身が「プロダクション前のプレステーブル版で、フォーマットやAPIは変わりうる」と明言しています。本格採用はこれからの段階です。

出典: EpicGames/lore - GitHub / Git good with Epic Games’ new open source VCS, Lore - The Register

5. 88分で144パッケージを汚染——Mastra npmサプライチェーン攻撃

最後は、規模と身近さの両面で衝撃が大きいサプライチェーン攻撃の話で締めます。2026年6月17日、北朝鮮の国家ハッカーグループ Sapphire Sleet が、AIエージェント構築フレームワーク Mastra のnpmスコープを乗っ取り、わずか 88分間 の全自動攻撃で 144パッケージ に悪意ある依存を注入しました。影響を受けたのは週次合計 110万回超 のダウンロード。狙いは166種類の仮想通貨ウォレット拡張機能と、開発者のLLM APIキーやCI/CDシークレットでした。

手口は恐ろしいほど巧妙でした。攻撃者はまず、正規の日付ライブラリ dayjs を完全コピーした easy-day-js を「良性のおとり」として1日間公開し、npmのレビューを突破。頃合いを見て悪意あるコード（postinstall フック）を仕込んだ版を出し、依存指定にキャレット（^）を使うことで、lockfileを持たない環境では自動的に最新の悪意版が引き込まれるよう仕込みました。

侵害の起点は 「忘れられた貢献者アカウント」 です。Mastraの元貢献者のアカウントが 16か月以上 非アクティブのまま、スコープ全体へのpublish権限を保持し続けていた。npmには休眠アカウントの権限を自動で剥奪する仕組みがないため、乗っ取られた認証情報がそのまま140超のパッケージへの「鍵」になってしまったのです。さらに恐ろしいのは、postinstall フックの性質上、対象を import しなくても npm install を実行しただけで感染 する点。開発機やCI/CDパイプラインがまるごと侵害されます。

では、どう守るか。即時対応としては該当期間に @mastra/* を入れた全マシンを侵害済みとして扱い、各種シークレットを即ローテーション。予防策は、 npm config set ignore-scripts true でライフサイクルスクリプトをデフォルト無効化、CIでは npm ci を使ってlockfileを必ずコミット、キャレット依存を避けてバージョンを固定、npm audit signatures でプロバナンス（来歴）を検証——と具体的です。トピック3のカーネルが「危険な関数をそもそも使えなくする」発想だったのと同じく、ここでも「postinstallを最初から動かさない」という、危険な機構を無効化しておく方向こそが構造的な解になります。

出典: Inside the Mastra npm supply chain compromise by Sapphire Sleet - Microsoft Security Blog / A forgotten contributor account compromised the entire Mastra npm package scope - Snyk

まとめ

今週の5本を貫いていたのは、 「メモリ安全」 と 「信頼の連鎖」 という2本の軸でした。NGINXのCVE-2026-42530は、メモリ境界を越えるバグがエッジサーバーで現実の脅威になることを見せつけ（第1話）、対するLinuxカーネルは同じ種類のバグを6年がかりで根絶した（第3話）。攻撃される側と、攻撃される手段そのものを消す側——対照的な2つの局面です。KDEのWayland移行（第2話）とEpicのRust製Lore（第4話）は、いずれも「より安全な基盤へ」という同じ方向への前進でした。

そしてもう1本の軸が信頼の連鎖。LoreがBLAKE3で「バイト列の同一性」を暗号学的に保証しようとしたのに対し、Mastra攻撃（第5話）はまさにその信頼を、休眠アカウントとおとりパッケージで悪用しました。npm install という何気ない1コマンドの裏で、私たちは無数の見知らぬ依存を信頼しています。その連鎖のどこか1点が乗っ取られれば、88分で144パッケージが汚染される。

だからこそ、Loreの「公開プロトコルと検証可能なハッシュ」も、カーネルの「危険な関数を使えなくする」発想も、Mastra対策の「postinstallをデフォルトで動かさない」も、すべて同じ結論に向かっています——信頼は前提にするのではなく、構造で検証し、危険な機構は最初から無効化しておくもの。エッジのサーバーから足元のツールチェーン、デスクトップまで、防御の思想が一本につながった3日間でした。次に何気なくサーバーを立てたり npm install を叩いたりするとき、その下で働く土台の作り直しに、少しだけ思いを馳せてみてください。それではまた次回！

参考文献

トピック 1：NGINX CVE-2026-42530

トピック 2：KDE Plasma 6.7

トピック 3：Linux 7.2 strncpy根絶

トピック 4：Epic Games Lore VCS

トピック 5：Mastra npmサプライチェーン攻撃

メモリの境界を守れ——NGINX・Linux・npm で同時進行する「土台の作り直し」（2026年6月22日）

Mon, 22 Jun 2026 07:15:00 +0900

こんにちは！コンテンツ制作部のライターです。

今日のテーマを一言で言うと 「メモリの境界を守る戦いは、エッジのサーバーから足元のカーネル、npm パッケージまで、同時進行している」 です。

NGINX にクリティカルな脆弱性、KDE Plasma のメジャーアップデート、Linux カーネルから危険な C 関数の根絶、Epic Games の新 VCS 公開、そして北朝鮮系ハッカーによる npm サプライチェーン攻撃——5本立てでお届けします。

1. NGINX CVE-2026-42530 — HTTP/3 QUIC の use-after-free が招くクリティカル RCE

概要

世界の Web サーバー市場で約 31.9% のシェアを握る NGINX に、HTTP/3 QUIC 実装を起点とするクリティカルな脆弱性 CVE-2026-42530 が発見された。開発元の F5 が 2026 年 6 月 17 日にアウトオブバンド（定例外）のセキュリティ通知を出し、同日に修正版 NGINX 1.31.2 をリリースしている。CVSS v4.0 スコアは 9.2（Critical） 、v3.1 では 8.1（High）だ。

一言でいうと、HTTP/3 のヘッダ圧縮処理に潜む use-after-free（解放済みメモリの再利用） バグだ。未認証のリモート攻撃者が、細工した QPACK エンコーダストリームを送り込むことで NGINX のワーカープロセスをクラッシュさせ（DoS）、条件が揃えばリモートコード実行（RCE）にまで発展しうる。「未認証」「リモート」という 2 つの言葉が並ぶ時点で、防御側としては即応が求められる。

技術詳細

仕組みを噛み砕こう。HTTP/3 はトランスポートに UDP ベースの QUIC を使い、ヘッダ圧縮には QPACK という仕組みを使う。QPACK は「エンコーダストリーム」と「デコーダストリーム」という専用ストリームで動的テーブルを管理する。

use-after-free はこの QPACK 状態管理の隙を突く。攻撃者が細工した HTTP/3 セッションを送り込み、既存の QPACK エンコーダストリームをセッション途中で「再オープン」しようとすると、NGINX のワーカープロセス内部で接続管理構造体が free（解放） されたにもかかわらず、別の処理パイプラインからその解放済みポインタが参照され続ける競合状態が生まれる。次のアクセスが来た瞬間、メモリ破損またはセグメンテーションフォルトが起きる。

重要なポイントが 2 つある。まず 攻撃に認証が不要 で、UDP の 443 番ポートに IP レベルで到達できれば成立する。次に、HTTP/3 QUIC は NGINX の デフォルトでは無効 で、設定ファイルに listen 443 quic; と http3 on; を明示した環境だけが対象になる。HTTP/3 を意図的に有効化していない多数の環境は設定変更なしで影響を受けない。

ただし同日公開の CVE-2026-42055 （HTTP/2・gRPC プロキシのヒープバッファオーバーフロー、CVSS v3.1 = 7.3）は、影響範囲が NGINX 1.13.10〜1.31.1 という広いレンジに及ぶ。「うちは HTTP/3 を有効にしていないから無関係」と早合点せず、CVE-2026-42055 の方も合わせてパッチを当てる必要がある。

なぜ重要か（エンジニア視点）

HTTP/3 のグローバル採用率は 2025 年 10 月時点で 35% に達し、上位 1 万サイトの 30% 超がデフォルトで HTTP/3 をネゴシエートする。Kubernetes 環境では ingress-nginx コントローラーが Ingress コントローラー市場の 60% 超を占める。つまり HTTP/3 を有効化した NGINX は、高トラフィックのエッジサーバーとして直接インターネットに露出しているケースが多く、攻撃者にとって格好のターゲットだ。

対応の優先順位: まず NGINX 1.31.2 へのアップデート。すぐ当てられない場合は listen から quic パラメータと http3 on; を外して HTTP/3 を無効化すれば攻撃面はゼロになる。NGINX Plus R33〜R36 利用者は F5 の公式ガイダンス（K000161616）を参照のこと。

2. KDE Plasma 6.7 — 21 年来の per-screen 仮想デスクトップと X11 セッション最後の砦

概要

2026 年 6 月 16 日リリースの KDE Plasma 6.7 は、2 つの歴史的意味を持つ。

1 つは、 2005 年から 21 年間 も未解決だった「画面ごとに独立した仮想デスクトップ」を Wayland 限定でついに実装したこと。もう 1 つは、このバージョンが X11 セッションを正式に提供する最後の KDE Plasma であること。次の 6.8（2026 年 10 月 14 日リリース予定）でログイン画面は Wayland セッションのみを提示するようになる。

技術詳細

per-screen 仮想デスクトップ とは、複数モニター環境で各モニターごとに独立して仮想デスクトップを切り替えられる機能だ。従来の Plasma では、仮想デスクトップを切り替えると全モニターが一斉に切り替わってしまい、「サブモニターには参照ドキュメントを固定したまま、メインモニターだけ作業空間を切り替えたい」という使い方ができなかった。

この要望は KDE のバグトラッカーに Bug #107302 として 2005 年 6 月 12 日に登録され、21 年間誰も解決できなかった。解決したのはフルタイム PHP エンジニアの Hynek Schlindenbuch 氏で、KDE Plasma を古いノートパソコンにインストールしてわずか数か月後にマージリクエストを開いた。「自分が欲しいから作った」という個人的動機が、コミュニティ 20 年越しの宿願を成就させた。

この機能は Wayland セッションでのみ動作 する。デフォルトはオフで、システム設定からオプトイン方式で有効化する。

X11 セッション廃止 の根拠は移行率だ。KDE 内部統計によれば、Plasma 6.6 ユーザーの 95% 以上 がすでに Wayland セッションを使っている。X11 アプリの互換レイヤー XWayland は引き続きサポートされるため、「X11 セッションの終わり」と「X11 アプリの終わり」は別物である点は押さえておきたい。

なぜ重要か（エンジニア視点）

Plasma 6.7 では Intel 統合 GPU 搭載システムでハードウェアオーバーレイプレーンがデフォルト有効化され、高解像度ディスプレイ上で 最大 70% の CPU 使用率削減 が報告されている。Wayland への移行が具体的なパフォーマンスメリットをもたらしている証左だ。

3. Linux 7.2: `strncpy()` 根絶 — 6 年・362 コミットの地味で偉大な旅

概要

Linux カーネル 7.2 のマージウィンドウで、危険な C 文字列関数 strncpy() の全使用箇所とアーキテクチャ固有の実装が、カーネルから 完全に除去 された。

Google の Kees Cook 氏（KSPP 主導者）が 2020 年 8 月に起票した Issue #90 を起点に、 70 名のコントリビューターによる 362 コミット が約 6 年かけて積み重ねられた末の「バグクラスの根絶」だ。

技術詳細

strncpy() の欠陥は主に 3 つある。

欠陥 1: NUL 終端の未保証。 コピー元が n バイト以上あるとき、コピー先バッファに NUL 終端文字を書かない。カーネルメモリにはパスワードや暗号鍵が散在するため、情報漏洩脆弱性に直結する。

欠陥 2: 不要なゼロパディング。 コピー元がコピー先より短い場合、残りのバッファを全部ゼロで埋める。代替の strscpy を使ったベンチマークでは CPU オーバーヘッドが最大 15% 削減 された。

欠陥 3: 直感に反するセマンティクス。 開発者に「安全に使った」と誤解させやすい設計だ。

代替関数は目的別に 5 つ整備された: strscpy()、strscpy_pad()、strtomem()、strtomem_pad()、memcpy_and_pad()。

なぜ重要か（エンジニア視点）

筆頭コントリビューターの Justin Stitt 氏（Google）は 362 コミット中 211 コミット（58%） を担当した。コールサイトごとに意図が違うため機械的な一律置換ができず、6 年分の丁寧な手動レビューが必要だった。

バグを検出するのではなく、バグを書く手段そのものを消す ——この発想こそが、深層的なメモリ安全の正体だ。

4. Epic Games Lore VCS — Rust 製 OSS バージョン管理が Perforce 独占に挑む

概要

Epic Games が 2026 年 6 月 17 日、新しいバージョン管理システム「 Lore 」を MIT ライセンスでオープンソース公開した。Rust で実装されたこの Lore は、ゲーム開発の現場で長らく有料独占が続いてきた Perforce に正面から挑む。

GitHub リポジトリ（EpicGames/lore）は公開数時間で 2,850 件以上のスター を獲得した。

技術詳細

Lore は Epic が UEFN（Unreal Editor for Fortnite）の内部ツールとして開発・運用してきた Unreal Revision Control（URC） を起源とする。

なぜ既存ツールでは不十分なのか。 Git/Git LFS はバイナリファイルを「二級市民」として扱い、Perforce は 1 ユーザーあたり約 39 ドル/月 のパーシート課金が重く、独占的なワイヤープロトコルがサードパーティ実装を事実上不可能にしている。

Lore の主要な技術選択:

リポジトリの状態は Merkle ツリー で表現
ハッシュは BLAKE3 を採用（Git の SHA-1、Perforce の MD5 より高速・並列対応）
重複排除は フラグメント（チャンク）単位（256KiB 超は FastCDC で分割、平均 64KiB）
スパース checkout は 構造的前提 として設計
ネットワークなしでコミット・ブランチ・diff が実行可能

なぜ重要か（エンジニア視点）

バージョン 0.8.3 はプレステーブルリリースで、オンディスクフォーマットと API はリリース間で変わりうる。ただし MIT ライセンス・無料・公開プロトコル仕様・6 言語 SDK 同時リリース（JavaScript・Python・C#・Go 等）は、エコシステムを最初から巻き込む意図のシグナルだ。

5. Mastra npm サプライチェーン攻撃 — 88 分・144 パッケージを汚染した Sapphire Sleet

概要

2026 年 6 月 17 日、北朝鮮の国家ハッカーグループ Sapphire Sleet が AI フレームワーク Mastra の npm スコープを乗っ取り、わずか 88 分間（01:12〜02:39 UTC） の全自動攻撃で 144 パッケージ に悪意ある依存を注入した。影響を受けたのは週次合計 1.1M 超 のダウンロードだ。

狙いは 166 種類の仮想通貨ウォレット拡張機能 と、開発者の LLM API キー（OpenAI・Anthropic・Google）・CI/CD シークレット。npm install を叩いた瞬間に開発マシンが侵害される。

技術詳細

攻撃のタイムライン:

6 月 16 日: npm ユーザー sergey2016 が easy-day-js@1.11.21（おとり版）を公開
6 月 17 日 01:01: easy-day-js@1.11.22（悪意あるコード付き）を公開
01:12: 侵害済みアカウント ehindero を使って @mastra スコープへの一括再公開を開始
02:39: 144 パッケージへの汚染バージョン公開が完了

侵害の起点は ehindero という 「忘れられた貢献者アカウント」 だ。 16 か月以上 も非アクティブだったにもかかわらず、スコープ全体への publish 権限が残り続けていた。

マルウェアは 4 ステージで動作する。Stage 1 の setup.cjs（4,572 バイト）が postinstall フックとして実行され、C2 サーバー（23.254.164.92:8000）から約 41KB の第二ステージを取得。Stage 2 は Node.js 製 RAT で、ブラウザ履歴・ウォレット拡張・OS 別永続化機構をターゲットにする。

なぜ重要か（エンジニア視点）

この事件が露わにした構造的弱点:

休眠アカウントのパーミッション残留 — 16 か月非アクティブなアカウントが 140 超のパッケージへの publish 権限を保持し続けた
ライフサイクルスクリプトのデフォルト実行 — postinstall は npm install 時にデフォルトで自動実行される。コードを import しなくても感染する
広域スコープ publish 権限 — 1 アカウントの侵害でスコープ下の全パッケージが被害を受ける

影響を受けるバージョン: mastra v1.13.0 以前、@mastra/core v1.42.0 以前。

即時対応: 2026-06-17 01:12〜02:39 UTC 以降に @mastra/* をインストールした全マシンを侵害済みとして扱い、LLM API キー・クラウド認証情報・npm トークン・SSH 鍵・仮想通貨ウォレットを全て即時ローテーションする。

予防策: npm config set ignore-scripts true でライフサイクルスクリプトをデフォルト無効化、CI では npm ci を使いロックファイルを必ずコミット、キャレット（^）依存を避けてバージョン固定を徹底する。

まとめ

3 日間の 5 つのトピックは、2 本の軸に収束する。

1 本目はメモリ安全。 NGINX の CVE-2026-42530 は「メモリ境界を越えるバグ」がエッジサーバーで現実の脅威になることを見せつけた。対して Linux カーネルは、同じ「メモリ境界を越える」 strncpy() を、攻撃される前に 6 年・362 コミットかけて根絶した。KDE の Wayland 移行と Epic の Rust 製 Lore は、いずれも「より安全な基盤へ」という同じ方向への前進だ。

2 本目は信頼の連鎖。 Lore は BLAKE3 とコンテンツアドレス指定で信頼を構造で担保しようとし、Mastra 攻撃はまさにその信頼を休眠アカウントと postinstall フックで悪用した。

「信頼は前提にするものではなく、構造で検証し、危険な機構は最初から無効化しておくもの」 ——エッジのサーバーから足元のツールチェーン、デスクトップまで、防御の思想が一本につながった 3 日間でした。

NGINX on 思いつきそうで思いつかなくていたときに

メモリの境界を守れ——NGINX・Linux・npmで同時進行する「土台の作り直し」（2026年6月22日）

今日のトピック

1. 世界の3割を握るNGINXに緊急パッチ——HTTP/3のメモリバグCVE-2026-42530

2. 21年越しの夢を「PHPエンジニア」がかなえた——KDE Plasma 6.7とX11最後の砦

3. 6年・362コミットの地味で偉大な旅——Linux 7.2が危険な関数strncpyを根絶

4. Perforceの数十年の独占に挑む——Epic GamesがRust製VCS「Lore」を公開

5. 88分で144パッケージを汚染——Mastra npmサプライチェーン攻撃

まとめ

参考文献

トピック 1：NGINX CVE-2026-42530

トピック 2：KDE Plasma 6.7

トピック 3：Linux 7.2 strncpy根絶

トピック 4：Epic Games Lore VCS

トピック 5：Mastra npmサプライチェーン攻撃

メモリの境界を守れ——NGINX・Linux・npm で同時進行する「土台の作り直し」（2026年6月22日）

1. NGINX CVE-2026-42530 — HTTP/3 QUIC の use-after-free が招くクリティカル RCE

概要

技術詳細

なぜ重要か（エンジニア視点）

2. KDE Plasma 6.7 — 21 年来の per-screen 仮想デスクトップと X11 セッション最後の砦

概要

技術詳細

なぜ重要か（エンジニア視点）

3. Linux 7.2: strncpy() 根絶 — 6 年・362 コミットの地味で偉大な旅

概要

技術詳細

なぜ重要か（エンジニア視点）

4. Epic Games Lore VCS — Rust 製 OSS バージョン管理が Perforce 独占に挑む

概要

技術詳細

なぜ重要か（エンジニア視点）

5. Mastra npm サプライチェーン攻撃 — 88 分・144 パッケージを汚染した Sapphire Sleet

概要

技術詳細

なぜ重要か（エンジニア視点）

まとめ

一次情報・参考リンク

NGINX CVE-2026-42530

KDE Plasma 6.7

Linux 7.2 strncpy 根絶

Epic Games Lore VCS

Mastra npm サプライチェーン攻撃

3. Linux 7.2: `strncpy()` 根絶 — 6 年・362 コミットの地味で偉大な旅