東芝DynabookのPCに直せない脆弱性 CVE-2026-56129、ドライバ削除を

東芝・Dynabook（ダイナブック）のパソコンに最初から入っているドライバーに脆弱性が見つかり、2026年6月25日、脆弱性の届け出をまとめる公的な窓口JVN（Japan Vulnerability Notes）で公表されました（管理番号JVNVU91051826、CVE-2026-56129）。問題があるのは「Generic IO & Memory Access ドライバー」（ファイル名 QIOMEM.SYS）と呼ばれる、機器の細かな制御に使われる部品です。

やっかいなのは、管理者ではない一般の利用者でも、パソコンの内部メモリに不正にアクセスできてしまう恐れがある点です。そしてさらに重いのは、修正版（アップデート）が提供されないという方針が示されていることです。直す手段がないため、対策は「問題のドライバー自体を削除する」ことになります。ドライバーが担っていた設定（BIOSのパスワード操作など）は、パソコン本体の起動画面から行う方法に切り替えます。

深刻度を0〜10で表す国際的な共通スコア「CVSS」では、最新方式（4.0）で6.8、従来方式（3.1）で5.5と、いわゆる中程度の評価です。ただしDynabookは国内の家庭・職場で広く使われており、しかも「アップデートで自動的に直る」種類ではないため、自分のパソコンが対象かどうかを一人ひとりが確認する必要があります。

何が起きるのか、誰のパソコンが関係するのか

ドライバーとは、パソコンの本体（ハードウェア）と、画面に映る操作（ソフトウェア）の間をつなぐ通訳のようなプログラムです。今回の「Generic IO & Memory Access ドライバー」は、メーカーが機器の低い層を直接やり取りするために組み込んでいるもので、利用者がふだん意識することはほとんどありません。JVNの公表内容によれば、このドライバーが外部からの指示を受け取る入口（IOCTLインタフェースと呼ばれる窓口）の権限チェックが不十分で、本来そこを使えないはずの権限の低い利用者でも、パソコンの物理メモリへ手を伸ばせてしまいます。

関係するのは、このドライバーが搭載された東芝・Dynabookのパソコンです。Dynabookは国内で長く売られてきたノートパソコンの代表的なブランドで、家庭用から会社の業務用まで広く出回っています。具体的にどの型番が対象になるかは、メーカーであるDynabookのサポート情報で確認する必要があります。本稿の執筆時点では、米国の脆弱性データベース（NVD）にはCVE-2026-56129の詳細がまだ掲載されておらず、一次情報はJVNとメーカー告知が中心です。

この穴を誰が、何のために狙うのか

この脆弱性は、インターネット越しに突然乗っ取られる類のものではありません。攻撃には、そのパソコンを実際に操作できる状態と、ログイン済みであることが前提になります。つまり起点になり得るのは、そのパソコンに普通の利用者として入り込める立場の人物、あるいは別の手口でいったん侵入を果たした攻撃プログラム（マルウェア）です。共用のパソコン、貸与ノート、誰かに一度でも操作されたり不審なソフトを動かしてしまった端末が、現実的な舞台になります。

狙う側がこの穴で行うのは、本来は管理者しか触れないはずのパソコンの心臓部（メモリ）に、権限の低い立場のまま手を伸ばすことです。メモリにはパスワードや暗号の鍵、動作中のプログラムの中身が一時的に置かれます。そこを書き換えたり読み取ったりできれば、管理者へのなりすまし（権限の昇格）や、防御ソフトの無力化への足がかりになります。メーカーが正式に署名した正規のドライバーである点も悪用側には好都合で、こうした「正規だが穴のあるドライバー」を持ち込んで悪用する手口は、セキュリティ業界でBYOVD（Bring Your Own Vulnerable Driver）と呼ばれ、近年くり返し使われてきました。同種の問題は、パソコンを光らせるソフトのドライバーで権限昇格が起きた事例でも取り上げました。

被害として現実味があるのは、まず個人なら、端末内のファイルや認証情報を抜かれること、知らぬ間に深く居座る不正プログラムの土台にされることです。会社や組織であれば、一台の業務用ノートを踏み台に、社内の他の端末やサーバーへ被害が広がる横移動の入口になりかねません。深刻度の数字は中程度でも、「自動では直らず、利用者が自分で手を打たない限り穴が残り続ける」という性質が、この脆弱性を侮れないものにしています。

技術的に見ると、なぜメモリに手が届くのか

パソコンの基本ソフト（OS、Windowsなど）は、メモリや機器を直接いじれる特権的な層（カーネル）と、私たちがアプリを使う一般の層を分けて、誤操作や攻撃が深部に届かないようにしています。ドライバーはこのカーネル層で動くため、強い権限を持ちます。アプリ側からドライバーへ指示を送る窓口がIOCTLで、ここには「誰の、どんな指示なら受け付けるか」という権限チェックが欠かせません。

今回はそのチェックが不十分だったため（CWE-782）、権限の低い利用者が送った「物理メモリを読み書きする」指示までドライバーが受け入れてしまいます。物理メモリを自由に触れるということは、OSが設けた層の壁を実質的に飛び越えられるということで、CVSSの評価でも「改ざん（Integrity）への影響が高い」と位置づけられています。攻撃に高い技術や特別な機器は不要で、手元のログイン環境さえあれば成立する点が、悪用の現実味を高めています。

こうしたメーカー製の低レベルドライバーは、利用者が存在を意識しないまま動き続けます。署名済みで一見正規なため、防御ソフトもすぐには疑いません。だからこそ、メーカーが「修正せず削除を推奨する」と判断した今回のような場合、利用者側がその存在に気づいて手を動かすかどうかが、そのまま安全の分かれ目になります。

いま取るべき対応

今回は修正アップデートが提供されません。そのため、根本的な対策は問題のドライバー（QIOMEM.SYS）を削除することです。削除すると、このドライバーが担っていた一部の設定操作（BIOS／スーパーバイザーのパスワード設定など）はできなくなりますが、その役割はパソコン起動時のBIOSセットアップ画面から代替できます。具体的な削除手順や、自分の型番が対象かどうかは、必ずDynabook公式のサポート情報とJVNの告知を確認してください。

あわせて、ふだんからの基本的な守りも効きます。素性の分からないソフトを実行しない、共用・貸与のパソコンでは管理者権限を絞る、防御ソフトを最新に保つ、といった対策は、攻撃の前提となる「手元での実行」を起こしにくくします。攻撃に手元での操作が要る分、ネット越しの脆弱性より緊急度はやや下がりますが、修正版が出ない以上、放置すれば穴は残り続けます。今のところ実際に攻撃へ悪用されたという報告は確認されていません。なお米政府CISAが公開する実際に攻撃されている脆弱性の一覧（KEV）にも、本稿執筆時点では登録されていません。

まとめ

東芝・Dynabookのパソコンに入っているドライバーの穴は、深刻度こそ中程度ですが、「自動では直らない・利用者が自分で削除するしかない」という点で、これまでのアップデートで済む脆弱性とは性質が異なります。署名済みの正規ドライバーが踏み台になるBYOVDの構図は、複数メーカーのPCで起きたセキュアブートの問題とも通じる、近年くり返されてきたパターンです。まずは自分のDynabookが対象かを公式情報で確かめ、対象なら手順に沿ってドライバーを削除する。地味でも、それが今回いちばん確実な守りになります。

参照元

• ▸ JVN - JVNVU#91051826 東芝製およびDynabook製PC搭載 Generic IO & Memory Access ドライバーのアクセス制御不備（2026年6月25日）
• ▸ Dynabook公式 - サポート情報（対象機種・対策手順）
• ▸ NVD - CVE-2026-56129（本稿執筆時点で公開準備中）