AVTECHネットワークカメラDGM3103SCTにOSコマンドインジェクション脆弱性(CVE-2026-56808)、root権限での任意コマンド実行の恐れ

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「オフィスの防犯カメラ、ファームウェアなんて更新したことないけど大丈夫?」
「管理画面にログインできる人しか攻撃できないなら、外部の人には関係ないんじゃないの?」

チップス

ボス!AVTECHっていうメーカーのネットワークカメラに脆弱性が出たって聞いたでしゅ。うちのオフィスにも同じの付いてるかもしれないんでしゅけど……

ボス

JVNで公開されたCVE-2026-56808だな。管理画面にログインできる状態であれば、カメラのシステムをroot権限で乗っ取られる恐れがある。見過ごしてはいけないぞ。

「カメラのファームウェアなんて更新しなくていいだろう」という感覚が、社内ネットワーク全体を危険にさらします。
この記事では、AVTECH製IPカメラDGM3103SCTのOSコマンドインジェクション脆弱性の概要から仕組み、今すぐ取るべき対応までを解説します。

  • IPA・JPCERT/CCがDGM3103SCTのOSコマンドインジェクション脆弱性(CVE-2026-56808)をJVNで公開(2026年6月30日)
  • Web管理画面にログインできるユーザーが、root権限で任意のコマンドを実行できる状態
  • ファームウェア v3.2.5.4 以前が対象。開発者提供の最新版への更新が必要

防犯カメラは「設置して終わり」の機器ではありません。定期的なファームウェア更新を怠ると、監視する側が監視される側になる事態も起こりえます。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

AVTECH製IPカメラDGM3103SCTにOS命令インジェクションの脆弱性、IPA/JPCERT/CCが警告

2026年6月30日、IPA(情報処理推進機構)とJPCERT/CCは、AVTECH Security Corporation製のIPカメラ「DGM3103SCT」に深刻なOSコマンドインジェクション脆弱性(CVE-2026-56808、JVN#28979424)が存在することを公開しました。
CVSSスコアはv4.0で8.6、v3.0で7.2と高く評価されており、リチェルカセキュリティ株式会社の研究者チームが発見・報告しました。
DGM3103SCTは3MP・H.265対応のIR対応バレット型IPカメラで、オフィスや店舗・倉庫の監視システムとして広く導入されている製品です。

影響を受けるバージョンと対処方法

今回の脆弱性が確認されているのは以下のバージョンです。

製品名影響バージョン
AVTECH DGM3103SCTファームウェア v3.2.5.4 以前

対処方法は、開発者(AVTECH Security Corporation)が提供する最新ファームウェアへの更新のみです。
まずは自社が導入しているカメラのメーカー・型番を確認し、DGM3103SCTが含まれる場合は速やかにバージョンを確認してください。

チップス

カメラのファームウェアってどこで確認するんでしゅか?難しそうでしゅ……

ボス

Web管理画面にログインして「システム情報」「バージョン情報」を確認するのが基本だ。型番が分からなければ、カメラ本体に貼付されたラベルを確認するとよいぞ。

「管理画面にしかログインできないから安全」は誤り——OSコマンドインジェクションの仕組みと実際のリスク

「管理画面のログインが必要なら、外部の攻撃者には関係ない」と思うかもしれません。
しかしこれは大きな誤解です。
ネットワークカメラはコスト優先で導入されることが多く、初期設定のまま使い続けられているケースが少なくありません。

攻撃が成立しやすい現実的なシナリオ

OSコマンドインジェクションは、Webアプリケーションがユーザー入力をOSコマンドに渡す際に、入力値の検証が不十分な場合に発生します。
攻撃者が管理画面に細工した入力値を送ると、意図しないコマンドがサーバー(カメラのOS)上でroot権限で実行されます。
この脆弱性が実際に問題となる典型的なシナリオは、以下の通りです。

  • 初期パスワード(admin/admin など)のまま運用しており、外部または内部からログインされる
  • 同一ネットワーク内の別機器がマルウェア感染し、カメラの管理画面にアクセスされる
  • VPNや管理ポートを誤ってインターネットに公開しており、外部から直接ログインを試みられる

root権限を奪われた場合、カメラの映像データを窃取・改ざんするだけでなく、カメラを内部ネットワークへの踏み台として悪用される恐れもあります。

チップス

カメラが踏み台にされて、社内ネットワーク全体に侵入されるんでしゅか!?防犯カメラなのに逆に危険でしゅ!

ボス

IoT機器は「見えにくい」だけに放置されやすい。初期パスワードの変更、不要な外部公開の廃止、そしてファームウェアの定期更新——この3点を徹底するだけでリスクは大きく下がるぞ。

まとめ:IoTカメラのセキュリティ管理を「設置後のルーティン」に組み込む

今回のDGM3103SCT脆弱性は、IPA・JPCERT/CCが国内企業向けに正式に注意喚起した案件です。
対象製品の利用者は、ファームウェアを最新バージョンに更新することが唯一の根本対策です。
あわせて、管理画面のパスワードを複雑なものに変更し、管理インターフェースをインターネットに直接露出しない構成を確認してください。
IoT機器のセキュリティ管理を「設置して終わり」から「定期的に確認する業務」へと切り替えることが重要です。

チップス

うちのカメラのファームウェア、すぐ確認してみるでしゅ!初期パスワードも変えてなかったかもしれないでしゅ……

ボス

今日確認できるなら、今日やるべきだ。IoT機器のセキュリティは「気づいたときがチャンス」だぞ。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次