チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「自宅やオフィスで使っているエレコム製Wi-Fiルーターが、急に危ないとニュースになっているけど、いったい何が起きているの?」
「ファームウェアの更新って毎回後回しにしてしまうけれど、今回はそんなに緊急なの?」
チップスJVNっていう難しいページが出ていて、CVSS 9.8とかいう数字が並んでるでしゅ……ちょっと意味がわからないでしゅ!
ボスふふふ。今回の件は、家庭から中小企業のオフィスまで広く出回っている無線ルーターに、認証なしで遠隔から侵入できるレベルの欠陥が含まれているという話だ。じっくり読み解いていこう。
JPCERT/CCとエレコムは2026年5月12日、エレコム製の無線LANルーターおよび無線アクセスポイント複数モデルにおける7件の脆弱性を公表しました。
中でもCVSS 9.8の認証不要OSコマンドインジェクションが含まれており、放置するとルーターを起点に家庭ネットワークや社内LANが乗っ取られる可能性があります。
この記事を読み終えるころには、自分の機器が対象かどうか、いま何をすべきかが明確になっているはずです。
家庭向け機器の脆弱性は地味に見えて、攻撃の踏み台にされやすい領域です。
具体的に何が起きていて、どこから手をつければよいのか、順に整理していきます。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
まずは公表内容をかみ砕いて、何台のルーターにどんな影響があるのかを押さえます。
今回の公表は、JPCERT/CCが運営する脆弱性情報ポータルJVNでJVN#03037325として整理されました。
影響を受けるのは家庭用Wi-Fi 6/6E/7ルーターのWRCシリーズと、業務用無線アクセスポイントのWAB-BEシリーズです。
カテゴリで言えば一般家庭からSOHO、店舗のバックヤード設置機器まで広範に及ぶラインナップです。
公表された脆弱性は次のとおり整理できます。
| CVE | 種別 | CVSS v3.0 |
|---|---|---|
| CVE-2026-40621 | 認証欠如 | 9.8 |
| CVE-2026-42062 | OSコマンドインジェクション | 9.8 |
| CVE-2026-35506 | OSコマンドインジェクション | 7.2 |
| CVE-2026-25107 | ハードコード暗号鍵 | 6.5 |
| CVE-2026-42948 | 格納型XSS | 4.8 |
| CVE-2026-42950 | パラメータ検証欠如 | 4.3 |
| CVE-2026-42961 | CSRF対策不備 | 4.3 |
チップス7件もあるんでしゅ!しかも認証なしで攻撃できる脆弱性が2つも入ってるでしゅ……。
CVSS 9.8の認証欠如とOSコマンドインジェクションは、Wi-Fi 7対応のWRC-BE72XSD、WRC-BE65QSD、WRC-W702シリーズで報告されています。
これらは2026年に入って販売台数が増えているモデルで、すでに家庭や小規模オフィスに広く流通しています。
業務用のWAB-BE187-MやWAB-BE72-Mシリーズも別系統の脆弱性に該当するため、機種ごとに確認が必要です。
対応のうえで意識したい注意点は次のとおりです。
続いて、これらの脆弱性が実際の攻撃でどう悪用されるのか、企業視点でのリスクを整理します。
CVE-2026-40621は管理画面の一部URLに認証チェックが抜けており、CVE-2026-42062はusernameパラメータを通じてOSコマンドを差し込めるという内容です。
つまりWAN側に管理画面が露出していれば、攻撃者は事前知識なしでルーターを完全に掌握できます。
そこから内部ネットワークの偵察やDNS書き換え、別のマルウェア配布の踏み台への転用が成立するため、家庭から中小企業までターゲット範囲が広いのが特徴です。
ボスルーターが乗っ取られると、つないでいる端末が全部監視される可能性があるということだ。家庭でも軽視できない話だな。
業務用WAB-BEシリーズに含まれるXSSやCSRFの脆弱性は、単体ではCVSSこそ中程度ですが、フィッシングと組み合わさると管理者権限の奪取に直結します。
奪われた管理者権限を使えば設定変更からファームウェアの差し替えまで自由に行えるため、店舗のPOS環境や工場の制御ネットワークが間接的に狙われる構図が想定されます。
サプライチェーン攻撃の入口としても無視できないリスクです。
企業が確認すべき優先順位は以下のとおりです。
エレコム公式は影響モデルごとの修正版ファームウェアを順次公開しており、JVN#03037325のページに最新の対応状況がまとまっています。
今回の脆弱性は、家庭用ルーターを起点にした攻撃が現実的なリスクであることを改めて示しました。
CVSS 9.8の認証欠如とコマンドインジェクションは、一度悪用されると初動の検知が難しく、復旧コストも大きくなります。
該当モデルを使う読者は、ファームウェアの更新と管理画面の露出見直しを今日中に終わらせておくのが安全です。
チップス家に帰ったらすぐルーターの管理画面を確認するでしゅ!
ボスその姿勢が大切だな。日常使いの機器こそ、地味な脆弱性管理が効いてくる。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
