インターネット上でTelnet(TCP/23)を公開しているサーバーが依然として大量に残っており、監視団体Shadowserverは「Telnetのフィンガープリントを持つIPアドレスが約80万件ある」と報告しています。地域別ではアジアが最も多く、次いで南米、欧州が続くとされています。
概要
この動きと重なる形で、GNU InetUtilsに含まれるtelnetdサーバーの重大な認証回避の脆弱性(CVE-2026-24061)を狙ったサイバー攻撃が、限定的ながら既に観測されています。
GreyNoiseは、パッチ公開直後の2026年1月21日から悪用が始まったとし、複数IP(18件)からのTelnetセッション(60件)を確認したと報告しています。攻撃の多くはrootを狙っており、侵入後に追加ペイロード(Pythonマルウェア)の投入も試みられたものの、環境要因で失敗したケースがあったとされています。
脆弱性について(CVE-2026-24061)
CVE-2026-24061は、GNU InetUtilsのtelnetdがクライアントから渡される環境変数USERの値を、そのまま/usr/bin/login(通常root権限)に引き渡す挙動に起因します。これにより、特定の値が渡されると通常の認証手順を迂回してログインできる可能性がある、というものです。
実際、公開情報ではPoC(概念実証)コードの存在も言及されており、攻撃の自動化・拡散が進む下地が整っている点がリスクを押し上げています。
影響を受けるバージョン
報道および複数の追跡情報によれば、影響範囲はGNU InetUtils 1.9.3(2015年リリース)から2.7までとされています。
特に、長期間更新されないレガシー機器や組み込み機器で稼働し続けるケースが多い点が指摘されています。
修正版
本脆弱性がGNU InetUtils 2.8で修正されています。
一方で、ディストリビューションによっては個別にバックポート修正が入る可能性もあるため、運用環境では「InetUtilsの上流バージョン」だけでなく、OSベンダーのセキュリティ更新状況(パッケージ版の修正有無)も合わせて確認する必要があります。
いま取るべき現実的な対策
-
最優先はアップデート:該当するInetUtils(telnetd)を修正版へ更新(またはOSベンダー提供の修正パッケージへ更新)します。
-
更新できない場合は停止・遮断:telnetdを無効化し、少なくとも外部からTCP/23へ到達できないようFWで遮断します。
-
公開Telnetそのものを見直す:Telnetは平文で認証情報や操作内容が流れる前提の設計で、インターネット公開は恒常的に高リスクです。SSH等への移行、管理アクセス経路の限定(踏み台・VPN・ゼロトラスト等)を基本方針として再設計するのが安全です。
-
検知・点検:短期的には、Telnetへの外部アクセス増加、想定外の管理者アカウント利用、異常なプロセス起動・外向き通信などをログ/EDR/NW監視で重点確認します(特にレガシー機器は資産把握が曖昧になりがちです)。








