チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「うちの会社、Aterm WX1800HPを部署のWi-Fiに使ってるんでしゅが、XSSって何が起きるんでしゅか?」
「管理画面のXSSって、ルーターの設定が書き換えられたりするんでしゅか?」
チップスボス、NV26-002って今度はAtermのXSS脆弱性なんでしゅか?うちで使ってるWX5400HPも対象に入ってるんでしゅけど…
ボスそうだな、CVE-2026-6059として9機種が公表されている。CVSSは4.8と中程度だが、管理者ブラウザでスクリプトを実行できる以上、設定改ざんの起点になり得る。軽視はできん。
2026年5月25日、JPCERT/CCがNEC AtermシリーズのクロスサイトスクリプティングCVE-2026-6059を公表しました。
本記事では、対象機種、攻撃が成立する条件、運用面で確認すべきポイントを整理していきます。
Wi-Fiルーターの管理画面は普段あまり開きませんが、攻撃者は管理者がアクセスする瞬間を狙ってきます。
事件の概要、XSSの悪用パターン、対象機種利用者が今すぐ取るべき対策を順に見ていきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
JPCERT/CCはJVN#69049186として、Atermシリーズ9機種に存在するXSS脆弱性を公表しました。
影響を受けるのはAtermブランドの家庭・SMB向けWi-Fiルーターで、人気機種のWX1800HPやWX5400HPも含まれます。
主な対象と修正バージョンは以下の通りです。
| 機種 | 修正バージョン |
|---|---|
| WX1800HP | Ver.3.2.2以上 |
| WX5400HP | Ver.2.1.0以上 |
| WX7800T8 | Ver.1.5.1以上 |
| WX11000T12 | Ver.1.4.0以上 |
| WX3000HP2 / WX4200D5 | Ver.1.3.2 / Ver.1.3.5以上 |
チップスCVSSが4.8って、そんなに高くないんでしゅよね?OSコマンドの方を優先すれば後回しでもいいんでしゅか?
ボススコアだけで判断するのは危険だ。XSSは単体の被害は限定的でも、管理者セッションを乗っ取れば設定変更やDNS書き換えへとつながる。複合攻撃の入口として侮るな。
ルーター管理画面のXSSは、攻撃者が用意したURLを管理者に開かせるだけで成立する場合があります。
管理者ブラウザでスクリプトが実行できれば、設定変更や認証情報の窃取まで攻撃の射程に入ります。
典型的な攻撃の流れは以下の通りです。
ファームウェア更新を最優先にしつつ、管理画面の運用ルールを見直すと安全性が大きく高まります。
推奨される対策は以下の通りです。
チップス専用ブラウザで管理画面を開くって、地味でしゅけど効きそうでしゅね!
ボスふふふ、地味な分離が一番強い。SNSや業務閲覧と同じブラウザにルーター管理画面を出すのは、それだけでリスクが上がるからな。
Aterm 9機種に確認されたCVE-2026-6059は、単体のスコアこそ4.8ですが、管理者セッションを乗っ取れば設定改ざんやDNS変更へ容易に発展する性質を持ちます。
家庭用ルーターでも企業ネットワークの一部として運用されるケースは珍しくありません。
該当機種を確認し、ファームウェア適用と管理画面の運用見直しを併せて進めましょう。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
