「オフィスの防犯カメラ、ファームウェアなんて更新したことないけど大丈夫?」
「管理画面にログインできる人しか攻撃できないなら、外部の人には関係ないんじゃないの?」
ボス!AVTECHっていうメーカーのネットワークカメラに脆弱性が出たって聞いたでしゅ。うちのオフィスにも同じの付いてるかもしれないんでしゅけど……
JVNで公開されたCVE-2026-56808だな。管理画面にログインできる状態であれば、カメラのシステムをroot権限で乗っ取られる恐れがある。見過ごしてはいけないぞ。
「カメラのファームウェアなんて更新しなくていいだろう」という感覚が、社内ネットワーク全体を危険にさらします。
この記事では、AVTECH製IPカメラDGM3103SCTのOSコマンドインジェクション脆弱性の概要から仕組み、今すぐ取るべき対応までを解説します。
- IPA・JPCERT/CCがDGM3103SCTのOSコマンドインジェクション脆弱性(CVE-2026-56808)をJVNで公開(2026年6月30日)
- Web管理画面にログインできるユーザーが、root権限で任意のコマンドを実行できる状態
- ファームウェア v3.2.5.4 以前が対象。開発者提供の最新版への更新が必要
防犯カメラは「設置して終わり」の機器ではありません。定期的なファームウェア更新を怠ると、監視する側が監視される側になる事態も起こりえます。
目次
AVTECH製IPカメラDGM3103SCTにOS命令インジェクションの脆弱性、IPA/JPCERT/CCが警告
2026年6月30日、IPA(情報処理推進機構)とJPCERT/CCは、AVTECH Security Corporation製のIPカメラ「DGM3103SCT」に深刻なOSコマンドインジェクション脆弱性(CVE-2026-56808、JVN#28979424)が存在することを公開しました。
CVSSスコアはv4.0で8.6、v3.0で7.2と高く評価されており、リチェルカセキュリティ株式会社の研究者チームが発見・報告しました。
DGM3103SCTは3MP・H.265対応のIR対応バレット型IPカメラで、オフィスや店舗・倉庫の監視システムとして広く導入されている製品です。
影響を受けるバージョンと対処方法
今回の脆弱性が確認されているのは以下のバージョンです。
| 製品名 | 影響バージョン |
|---|
| AVTECH DGM3103SCT | ファームウェア v3.2.5.4 以前 |
対処方法は、開発者(AVTECH Security Corporation)が提供する最新ファームウェアへの更新のみです。
まずは自社が導入しているカメラのメーカー・型番を確認し、DGM3103SCTが含まれる場合は速やかにバージョンを確認してください。
カメラのファームウェアってどこで確認するんでしゅか?難しそうでしゅ……
Web管理画面にログインして「システム情報」「バージョン情報」を確認するのが基本だ。型番が分からなければ、カメラ本体に貼付されたラベルを確認するとよいぞ。
「管理画面にしかログインできないから安全」は誤り——OSコマンドインジェクションの仕組みと実際のリスク
「管理画面のログインが必要なら、外部の攻撃者には関係ない」と思うかもしれません。
しかしこれは大きな誤解です。
ネットワークカメラはコスト優先で導入されることが多く、初期設定のまま使い続けられているケースが少なくありません。
攻撃が成立しやすい現実的なシナリオ
OSコマンドインジェクションは、Webアプリケーションがユーザー入力をOSコマンドに渡す際に、入力値の検証が不十分な場合に発生します。
攻撃者が管理画面に細工した入力値を送ると、意図しないコマンドがサーバー(カメラのOS)上でroot権限で実行されます。
この脆弱性が実際に問題となる典型的なシナリオは、以下の通りです。
- 初期パスワード(admin/admin など)のまま運用しており、外部または内部からログインされる
- 同一ネットワーク内の別機器がマルウェア感染し、カメラの管理画面にアクセスされる
- VPNや管理ポートを誤ってインターネットに公開しており、外部から直接ログインを試みられる
root権限を奪われた場合、カメラの映像データを窃取・改ざんするだけでなく、カメラを内部ネットワークへの踏み台として悪用される恐れもあります。
カメラが踏み台にされて、社内ネットワーク全体に侵入されるんでしゅか!?防犯カメラなのに逆に危険でしゅ!
IoT機器は「見えにくい」だけに放置されやすい。初期パスワードの変更、不要な外部公開の廃止、そしてファームウェアの定期更新——この3点を徹底するだけでリスクは大きく下がるぞ。
まとめ:IoTカメラのセキュリティ管理を「設置後のルーティン」に組み込む
今回のDGM3103SCT脆弱性は、IPA・JPCERT/CCが国内企業向けに正式に注意喚起した案件です。
対象製品の利用者は、ファームウェアを最新バージョンに更新することが唯一の根本対策です。
あわせて、管理画面のパスワードを複雑なものに変更し、管理インターフェースをインターネットに直接露出しない構成を確認してください。
IoT機器のセキュリティ管理を「設置して終わり」から「定期的に確認する業務」へと切り替えることが重要です。
うちのカメラのファームウェア、すぐ確認してみるでしゅ!初期パスワードも変えてなかったかもしれないでしゅ……
今日確認できるなら、今日やるべきだ。IoT機器のセキュリティは「気づいたときがチャンス」だぞ。