チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「家のWi-Fiルーターにも脆弱性って出るの?」
「NECのAtermを使っているけど、何をすればいいか分からない…」
チップスボス!
NECのAtermに脆弱性が出たでしゅ!
うちの会社でも使ってるかもしれないでしゅけど、大丈夫でしゅか!?
ボスAtermは日本で非常に普及しているルーターだ。
今回は21モデルに影響が出ている。
OSコマンドインジェクションを含む深刻な脆弱性だから、早急な対応が必要だな。
2026年4月3日、JVNおよびIPAがNEC Atermシリーズの脆弱性情報を公開しました。
日本の家庭やオフィスで広く使われている製品だけに、影響範囲は非常に大きいといえます。
この記事では脆弱性の内容と、利用者が取るべき具体的な対策を解説します。
自宅やオフィスでAtermを使っている方は、ぜひ最後まで読んで対策を確認してください。
今回公開された脆弱性は、JPCERT/CCの調整の元でJVN(JVN#89339669)として公表されました。
Atermシリーズには以下の5つの脆弱性が存在します。
なかでもOSコマンドインジェクション(CVE-2026-4620、CVE-2026-4622)は、攻撃者がルーター上で任意のコマンドを実行できるため、影響が深刻です。
| CVE番号 | 脆弱性の種類 | 想定される影響 |
|---|---|---|
| CVE-2026-4309 | 認可チェックの欠如 | 設定の不正変更 |
| CVE-2026-4619 | パストラバーサル | 任意ファイルの上書き |
| CVE-2026-4620 | OSコマンドインジェクション | 任意コマンドの実行 |
| CVE-2026-4621 | 隠し機能(CWE-912) | telnetサービスの有効化 |
| CVE-2026-4622 | OSコマンドインジェクション | 任意コマンドの実行 |
重要なポイントとして、これらの脆弱性はLAN側からの攻撃を対象としています。
インターネット(WAN側)から直接攻撃されるわけではありませんが、すでにLAN内に侵入されている場合や、悪意あるWebページ経由のCSRF攻撃と組み合わされるリスクは残ります。
チップスLAN側だけって聞くと安心しそうになるでしゅけど、社内に侵入されてたらアウトってことでしゅよね…。
ボスその通りだ。
LAN側だからといって放置していい理由にはならない。
多層防御の考え方を忘れるなよ。
NECは影響を受ける21モデルのうち、12モデルに修正ファームウェアを提供しています。
修正済みファームウェアが提供されている主なモデルと対象バージョンは以下の通りです。
自動バージョンアップ機能が有効なら、すでに更新されている場合もあります。
手動の場合は、Atermの管理画面からファームウェアバージョンを確認してください。
修正版が提供されていない機種を使っている場合は、以下の回避策を実施しましょう。
ルーターは「設置したら終わり」になりがちな機器です。
定期的なファームウェア確認を習慣にすることで、脆弱性を放置するリスクを大幅に減らせます。
ボスルーターはネットワークの入口だ。
ここに穴があれば、どれだけ端末を守っても意味がない。
ファームウェアの更新は、セキュリティ対策の基本中の基本だぞ。
チップスうう…実家のAtermも初期設定のままかもしれないでしゅ…。
帰ったらすぐ確認するでしゅ!
NEC Atermシリーズの脆弱性は、OSコマンドインジェクションを含む深刻な内容です。
日本の家庭やオフィスで広く使われている機器だからこそ、対象モデルに該当するかの確認を急いでください。
修正ファームウェアが出ていれば更新、出ていなければパスワード変更と買い替え検討が必要です。
詳細はJVN(JVN#89339669)およびNEC公式セキュリティ情報(NV26-001)で確認できます。
