GeoVision防犯機器に乗っ取りの脆弱性8件、CVE-2026-12485ほか、修正版v2.12へ更新を
防犯カメラと連動して警報や電気錠を制御するGeoVision製機器「GV-I/O Box 4E」に、パスワードなしで遠隔から乗っ取られる脆弱性が8件見つかりました。最大の深刻度はCVSS10.0。古いバージョン2.09が対象で、修正版2.12への更新が必要です。放置すると機器が攻撃の踏み台やネットワーク侵入の起点にされる恐れがあります。
堀川 慎
Backend Engineer / AWS / Django / Go
防犯カメラと連動して警報や電気錠を制御するGeoVision製機器「GV-I/O Box 4E」に、パスワードなしで遠隔から乗っ取られる脆弱性が8件見つかりました。最大の深刻度はCVSS10.0。古いバージョン2.09が対象で、修正版2.12への更新が必要です。放置すると機器が攻撃の踏み台やネットワーク侵入の起点にされる恐れがあります。
防犯カメラシステムに警報センサーや電気錠をつなぐための小型機器、GeoVision「GV-I/O Box 4E」に、パスワードなしで遠隔から乗っ取られる脆弱性(プログラムの欠陥)が8件見つかりました。うち4件は深刻度の最高値であるCVSS 10.0がつけられています。
見つけたのはセキュリティ企業シスコの調査チーム「Cisco Talos」。対象は古いファームウェア(機器内部のソフト)バージョン2.09で、メーカーは修正版のv2.12を公開済みです。古いまま使い続けると、機器がインターネット越しに完全に制御を奪われ、つながった警報やドアの誤作動、社内ネットワークへの侵入の起点にされる恐れがあります。
そもそもGV-I/O Box 4Eとは何の機器か
GeoVision(ジオビジョン)は台湾の防犯機器メーカーで、監視カメラや録画システム、入退室管理システムを世界中に販売しています。今回問題になったGV-I/O Box 4Eは、その監視システムに「センサーやスイッチ」をつなぐための中継装置です。
具体的には、4つの入力(センサーや火災報知器などからの信号を受け取る)と4つの出力(電気錠・警報ブザー・回転灯などをオン・オフする)を備えています。LANケーブル(Ethernet)でネットワークにつなぎ、PoE(LANケーブル経由の給電)にも対応します。スマホアプリから遠隔操作する機能も用意されています。
つまり、店舗・オフィス・工場・施設などで「ドアの解錠」「警報の発報」といった物理的な動作を、ネットワーク越しに担う縁の下の機器です。地味ですが、乗っ取られたときの影響が大きい部類の装置といえます。
誰が狙い、何をされ、どうなるのか
この機器が狙われると、何が起きるのか。専門用語を使わずに整理します。
まず狙うのは、インターネットに公開された防犯機器を自動で探し回る攻撃者や、乗っ取った機器を束ねて他者を攻撃する「ボットネット」の運用者です。GV-I/O Boxのようなネットワーク機器は、設置したまま長年ファームウェアを更新されないことが多く、こうした相手にとって格好の的になります。
彼らがすることは単純です。機器が待ち受けている通信窓口に、細工したデータを1回送りつけるだけで、ログインを経ずに機器内部で好きなプログラムを実行できるようになります。今回の8件の多くは、利用者IDもパスワードも一切不要で成立します。
乗っ取りが成立すると、被害は二方向に広がります。ひとつは物理的な被害です。GV-I/O Boxにつながった電気錠や警報を攻撃者が自由に操作できれば、施錠状態の偽装や警報の無効化につながりかねません。もうひとつはネットワーク全体への被害です。乗っ取られた機器は、同じネットワークにある録画サーバーや業務システムへ侵入するための「踏み台」にされたり、他サイトを攻撃するボットネットの一員に組み込まれたりします。
監視カメラやIoT機器が乗っ取られて攻撃の道具にされる流れは、近年くり返し起きています。実際に攻撃が確認された脆弱性は、米政府機関CISAが公開するリストで追えます。日本語で読める一覧はCISA KEV ダッシュボード(日本語版)にまとめています。自社の機器が「実際に攻撃されている」段階に入っていないかを確認する目安になります。
公表までの流れ
修正版はすでに出ています。発見から公表までの経緯を時系列で整理します。
← スワイプで移動
8件の脆弱性の中身
8件は大きく2つのグループに分かれます。前半の4件はパスワード不要で乗っ取れる「バッファオーバーフロー」(受け取ったデータが用意した置き場からあふれ、別の場所を書き換えてしまう欠陥)で、いずれもCVSS 10.0。後半の4件は機器に命令を紛れ込ませる「コマンドインジェクション」(入力値がそのまま機器内部の命令として実行されてしまう欠陥)で、CVSS 9.1です。
| CVE番号 | 種類 | 深刻度 (CVSS) | ログイン 要否 | 問題のあった項目 |
|---|---|---|---|---|
| CVE-2026-12485 | バッファ オーバーフロー | 10.0 | 不要 | IPアドレス欄 |
| CVE-2026-12846 | バッファ オーバーフロー | 10.0 | 不要 | サブネット マスク欄 |
| CVE-2026-12847 | バッファ オーバーフロー | 10.0 | 不要 | ゲートウェイ欄 |
| CVE-2026-12848 | バッファ オーバーフロー | 10.0 | 不要 | DNS欄 |
| CVE-2026-12486 | コマンド インジェクション | 9.1 | 要(高権限) | IPアドレス設定 処理 |
| CVE-2026-12849 | コマンド インジェクション | 9.1 | 要(高権限) | サブネット マスク設定 |
| CVE-2026-12850 | コマンド インジェクション | 9.1 | 要(高権限) | ゲートウェイ設定 |
| CVE-2026-12851 | コマンド インジェクション | 9.1 | 要(高権限) | DNS設定 |
CVE-2026-12485 / 12846 / 12847 / 12848:パスワード不要で乗っ取れる4件(CVSS 10.0)
この4件はいずれも、機器がネットワーク上で常に待ち受けている「DVRSearch」という機能で起きます。DVRSearchは機器を見つけ出すためのサービスで、UDPの10001番ポート(通信の出入り口)で待機しており、ネットワーク内の誰でも認証なしにメッセージを送れる状態です。
ネットワーク設定を変更する命令(CMD_IP_SET)を受け取ったとき、機器は送られてきた値を最大1460バイトまで内部の置き場に読み込みます。ところが、IPアドレス欄・サブネットマスク欄・ゲートウェイ欄・DNS欄のそれぞれで、長さを確認せずにコピーしてしまいます。結果として置き場からデータがあふれ、攻撃者は機器内部で任意のプログラムを実行できます。ログインが一切要らないため、4件とも最高値のCVSS 10.0です。
CVE-2026-12486 / 12849 / 12850 / 12851:命令を紛れ込ませる4件(CVSS 9.1)
残りの4件は、機器内部でネットワーク設定を担う部品「libNetSetObj.so」というライブラリにあります。このライブラリは、IPアドレス・サブネットマスク・ゲートウェイ・DNSの設定や、各種サービスの起動・停止を行う中心的な部品です。
問題は、受け取った値をチェックせずに、そのまま機器のOS命令(system関数)として実行してしまう点です。たとえばゲートウェイ設定の処理(m_F_n_Set_Gate_way)は、渡された文字列をそのまま命令として実行します。サブネットマスク設定、DNS設定、IPアドレス設定でも同じ問題が見つかっています。これらの処理は前述のDVRSearchと、設定画面の裏で動く「Network.cgi」の両方から呼び出せます。こちらは高い権限が必要なぶんCVSSは9.1ですが、前半の乗っ取りと組み合わせれば一連の攻撃として成立し得ます。
自分の機器が対象かどうかの早見表
影響を受けるのはファームウェア2.09です。修正版の2.12では8件すべてが解消されています。まず管理画面で自機のバージョンを確認してください。
| ファーム バージョン | 8件の影響 | 対応の 優先度 | やること |
|---|---|---|---|
| v2.09 (およびそれ以前) | 影響あり (乗っ取りの恐れ) | 最優先 | すぐv2.12へ更新 |
| v2.12 (以降) | 影響なし (修正済み) | — | 適用済みなら対応不要 |
| バージョン 不明 | 要確認 | 高 | 管理画面で確認し更新 |
いま取るべき対策
最優先は修正版v2.12への更新です。GeoVisionは通報からおよそ1週間後の2026年4月28日に修正版を公開しています。更新手順や最新のファームはGeoVisionのセキュリティ情報ページと製品サポートから確認できます。
すぐに更新できない場合の緩和策として、次の3点が有効です。第一に、GV-I/O Boxをインターネットに直接公開しないこと。外部から到達できる状態は最も危険です。第二に、機器が待ち受けるUDP 10001番ポートへのアクセスを、信頼できる管理用ネットワークだけに絞ること。第三に、防犯機器を業務ネットワークから分離(ネットワークを分けて隔離)し、万一乗っ取られても被害が広がらないようにすることです。
こうした「ネットワーク機器を放置せず、出入り口を絞り、分離する」という基本は、監視カメラやルーターなどあらゆるIoT機器に共通します。攻撃者が実際に悪用している脆弱性は刻々と増えており、自社の機器が該当していないかはCISA KEV ダッシュボード(日本語版)でこまめに確認することをおすすめします。
まとめ
GeoVision GV-I/O Box 4Eで見つかった8件の脆弱性は、パスワードなしで遠隔から機器を乗っ取れるものを含み、最大でCVSS 10.0という最も深刻な評価です。発見したCisco Talosの報告を受け、メーカーはすでに修正版v2.12を公開しています。
この機器は防犯システムで警報や電気錠を制御する役割を担うため、乗っ取りは物理的な被害とネットワーク侵入の両方につながりかねません。設置したまま忘れられがちな機器こそ狙われやすいという点で、いま一度バージョンを確認し、古いものは速やかに更新することが求められます。今後GV-I/O Boxに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。
参照元
- ▸Cisco Talos - TALOS-2026-2377(GV-I/O Box 4E バッファオーバーフロー)
- ▸GeoVision - Cyber Security(セキュリティ情報ページ)
- ▸GeoVision - GV-I/O Box 4E 製品ページ
- ▸NVD - CVE-2026-12485(IPアドレス欄 バッファオーバーフロー)
- ▸NVD - CVE-2026-12846(サブネットマスク欄 バッファオーバーフロー)
- ▸NVD - CVE-2026-12847(ゲートウェイ欄 バッファオーバーフロー)
- ▸NVD - CVE-2026-12848(DNS欄 バッファオーバーフロー)
- ▸NVD - CVE-2026-12486(IPアドレス設定 コマンドインジェクション)
- ▸NVD - CVE-2026-12849(サブネットマスク設定 コマンドインジェクション)
- ▸NVD - CVE-2026-12850(ゲートウェイ設定 コマンドインジェクション)
- ▸NVD - CVE-2026-12851(DNS設定 コマンドインジェクション)
- ▸Vulnerability-Lookup - CVE-2026-12846