何が出たのか #
JPCERT/CC が 2026 年 5 月 19 日付で、エレコム製の無線 LAN ルーター 13 機種と無線アクセスポイント 4 機種を対象とした 計 7 件の脆弱性 を公表した。CVE-2026-25107 から CVE-2026-42961 までが採番されており、内訳は ハードコードされた暗号鍵、OS コマンドインジェクション 2 件、認証欠如、格納型 XSS、入力検証の不備、CSRF 対策不備 と多岐にわたる。同一ベンダーの製品ラインで同時にこれだけの種類が露出するのは珍しく、共通コードベースの設計上の弱点が一斉に表面化した可能性が高い。
なぜ重大か #
特に脅威度が高いのは認証なしで踏める OS コマンドインジェクション (CVE-2026-35506: ping_ip_addr パラメータ) と認証欠如 (CVE-2026-40621) の組み合わせだ。攻撃者は WAN 側に管理画面が晒されていれば LAN 内に踏み込まずにルーター乗っ取りが成立し、そこから DNS 書き換えや内部端末スキャンに発展しうる。さらに ハードコード暗号鍵 (CVE-2026-25107) は、攻撃者が一度ファームウェアを解析すれば全ユーザーの設定ファイルを復号できることを意味する。家庭用ルーターはユーザーが触らない期間が長く、bot 化されたまま気付かれない事例 (過去の Mirai 系・TheMoon 系) が繰り返されてきたため、影響は短期では収束しない。
何をすべきか #
ユーザー側は (1) 製品型番と現行ファーム版を確認、(2) エレコム公式の修正版に更新、(3) 管理画面の WAN 公開を即時無効化 の 3 点を最優先で実施したい。ベンダー側に対しては、ハードコード鍵や認証欠如のような「設計時点で検出されるべき欠陥」が量産機に残っていた事実を踏まえ、出荷前 SAST/DAST と境界認証の最低ラインの再確認が求められる。
COMMENTS 0
No comments yet — be the first to leave one.