三菱電機のエアコンや冷蔵庫など家電に脆弱性、同じWi-Fiの第三者から遠隔操作を止められる恐れ CVE-2025-49604、修正版へ更新を
三菱電機が、Wi-Fi対応のエアコン・冷蔵庫・炊飯器・IHなど幅広い家電に脆弱性CVE-2025-49604を公表。同じWi-Fiにつないだ機器から細工した通信を送られると、家電のWi-Fiが一時的に止まり、スマホアプリからの遠隔操作ができなくなる恐れがある。情報漏えいや乗っ取りのリスクはないが、対象機種は修正版ファームへの更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
三菱電機が、Wi-Fi対応のエアコン・冷蔵庫・炊飯器・IHなど幅広い家電に脆弱性CVE-2025-49604を公表。同じWi-Fiにつないだ機器から細工した通信を送られると、家電のWi-Fiが一時的に止まり、スマホアプリからの遠隔操作ができなくなる恐れがある。情報漏えいや乗っ取りのリスクはないが、対象機種は修正版ファームへの更新を。
三菱電機が、Wi-Fi対応のエアコン・冷蔵庫・炊飯器・IHクッキングヒーターなど幅広い家電に脆弱性があると公表しました。同じWi-Fiにつないだ機器から細工した通信を送り込まれると、家電のWi-Fi機能が一時的に止まり、スマホアプリからの遠隔操作ができなくなる恐れがあります。番号は CVE-2025-49604、深刻度は CVSS 5.4(中程度) です。
問題が見つかったのは、家電に組み込まれた台湾 Realtek(リアルテック) 社製のWi-Fiチップ向けソフト(Wi-Fiドライバ)です。三菱電機はこのチップを使った機器をつくっているメーカーのひとつで、同じ部品を使う製品が一度に対象となりました。脆弱性情報は JPCERT/CCの脆弱性情報ポータルJVN(JVNVU#99483706) で公開され、2026年6月11日に対応状況が更新されています。
先に結論を書きます。これは「家電が乗っ取られる」「中の情報が盗まれる」という種類の話ではありません。三菱電機は 公式の脆弱性情報 で、対象製品は個人情報などの機密情報を保存しておらず、情報漏えいや不正な機器操作のリスクはないと明言しています。起きるのはWi-Fi通信の一時的な停止だけで、多くは自動で再起動して復旧します。ただし、対象機種を使っている人は 修正版のソフトへ更新 しておくのが安心です。
何が起きるのか、スマホからの遠隔操作が一時的に効かなくなる
最近の三菱電機の家電は、専用のスマホアプリ(ルームエアコンの「霧ヶ峰REMOTE」やヒートポンプ給湯機などの「MyMU」など)から、外出先でも操作したり状態を確認したりできます。エアコンを帰宅前に動かす、給湯機のお湯張りを外から指示する、冷蔵庫の状態を見る、といった使い方です。今回の脆弱性は、この遠隔操作を支えているWi-Fi通信の部分にあります。
具体的には、同じWi-Fiにつながった機器から、わざと壊れた形に細工した通信(不正なWi-Fiフレーム)を送り込まれると、家電側のWi-Fi処理が破綻して通信が一時的に止まります。その間はスマホアプリから操作できず、機器の登録や情報の取得もできなくなります。三菱電機の説明によると、多くの場合は機器が自動で再起動して通信が戻り、戻らないときは手動で電源を入れ直せば復旧します。
大事なのは、被害の範囲が「遠隔操作の一時的な妨害」にとどまる点です。エアコンが勝手に動く、設定温度を外から書き換えられる、家庭の通信が盗み見られる、といったことは起きません。守りの言葉でいえば、情報を盗む(機密性)でも、設定を書き換える(完全性)でもなく、使えなくする(可用性)だけの問題です。とはいえ、真夏や真冬に外出先からエアコンを動かす生活が当たり前になっている家庭にとって、その「使えない」は十分に困る話です。
あなたの家電は対象か、Wi-Fi対応の多くの製品が含まれる
三菱電機が公開した 対象製品リスト は13カテゴリにわたり、Wi-Fi対応のかなり広い範囲の家電が含まれます。逆に、Wi-Fiに対応していない製品や、Wi-Fi対応でも実際にネットワークへつないでいない製品は対象外です。代表的なカテゴリを整理すると次のようになります。
| 製品カテゴリ | 主な対象 | 対応 |
|---|---|---|
| ルームエアコン (国内・海外) | Wi-Fi内蔵・対応機種、 無線LANアダプター(MAC-900IF ほか) | 修正版へ更新 (例:41.00以前→42.00以降) |
| パッケージエアコン | 店舗・オフィス向けの Wi-Fi対応機種 | 修正版へ更新 |
| 冷蔵庫 | Wi-Fi対応機種 | 修正版へ更新 |
| ヒートポンプ給湯機・ HEMS | 対応機種、 制御・無線LANアダプター | 修正版へ更新 |
| バス乾燥暖房換気・ ロスナイ換気 | 対応機種、 スマートスイッチ | 修正版へ更新 |
| IHクッキングヒーター・ 炊飯器 | Wi-Fi対応機種 | 修正版へ更新 |
対象となる正確な型番(無線LANアダプターの MAC-900IF や海外向けの MAC-587IF-E など)と、それぞれの修正版バージョン・公開時期は、三菱電機の 公式アドバイザリ に一覧で載っています。自宅の機器が当てはまるかは、アプリの「アダプター情報」「無線LANソフトウェア」などの画面でバージョンを確認するのが確実です。なお、6月11日の更新では、各製品の修正版の提供時期や一部の記載の訂正が反映されました。新しい脆弱性が増えたわけではありません。
この穴を突くのは誰で、止められて困るのは何か
CVSSが中程度で被害も一時的な通信停止にとどまる以上、これは「世界中から狙われる」種類の脆弱性ではありません。ただ、攻撃が成立する条件と、止められて実際に困る場面を具体的に置いてみると、誰にとっての話なのかがはっきりします。攻撃の前提はただ一つ、「攻撃者が、その家電と同じWi-Fiにつながっていること」です。
つまり狙えるのは、遠い国のハッカーではなく、自宅のWi-Fiパスワードを教えた来客、それを破った隣人、同じ家に住む誰か、あるいはすでに家庭内の1台(スマホ・スマートテレビ・ロボット掃除機など)に潜り込んで横へ広がろうとするマルウェアです。彼らができるのは、細工した電波を一度送り込み、エアコンや給湯機、冷蔵庫の通信窓口をまとめて黙らせること。その一発が届いた瞬間、その家のWi-Fi家電は外からの遠隔操作の窓口をそろって閉ざされ、スマホからは「反応しない箱」になります。
技術的にいえば、これは離れた場所から踏める脆弱性(リモート)ではなく、同じネットワークの内側にいる相手だけが踏める「隣接」型の問題です。だからこそ、より大きな侵入の一部として組み込まれたときに意味を持ちます。スマートロックや見守りカメラ、空調を在宅検知と連動させている家ほど、空調や換気を都合よく止める一手は、別の攻撃の目隠しや揺さぶりに使えます。Realtekのチップは無数のIoT機器に載っているため、同じ「家電のWi-Fi部品」起因の不具合は、これからも形を変えて出続けます。
CVSS 5.4(三菱電機の評価では5.1)という数字は、技術的にはそれほど高くありません。失われるのも、真夏の帰宅前にエアコンを動かせない、外出先から給湯を止められないといった「便利さ」です。それでも本当に重いのは不便さそのものより、その妨害が成立した時点で、すでに誰かが自宅のWi-Fiの内側に入り込んでいるという事実のほうです。家電が反応しないという小さな異変は、ネットワークに招かれざる客がいるサインかもしれません。
技術的に見る、Realtekチップの「電波の組み立て直し」の穴
CVE-2025-49604:分割されたWi-Fiフレームの検査不足によるバッファあふれ
CVE-2025-49604 の正体は、Realtek製Wi-Fiチップ(Ameba系の RTL8721D など)向けのソフトに潜む、ヒープベースのバッファオーバーフロー(CWE-122、確保したメモリ領域の外まで書き込んでしまう不具合)です。Wi-Fiの通信は、大きなデータを小さなかたまり(フレーム)に分割して送り、受け取った側で再び組み立て直します。問題は、この組み立て直し(再結合)のときに、かたまりのサイズを十分に検査していなかった点にあります。細工して異常なサイズに見せかけたかたまりを送りつけると、想定より大きなデータが書き込まれ、メモリがあふれてWi-Fi処理が破綻します。
ここがこの事案の勘どころです。バグがあるのは三菱電機が独自に書いたソフトではなく、家電に部品として組み込まれているRealtekのWi-Fiチップ側のソフトです。スマホやパソコンの心臓部に他社製の半導体が載っているのと同じで、家電のWi-Fi機能もこうした共通部品の上に成り立っています。だから一つの部品に穴が見つかると、その部品を採用したエアコンも冷蔵庫も給湯機も、まとめて影響を受けます。修正は、Realtekが 公式のセキュリティ情報 でドライバを更新し、それを各メーカーが自社製品のソフトに取り込んで配信する、という流れで進みます。三菱電機の修正版ファームへの更新は、この最終段階にあたります。
深刻度の評価は出どころで少し差があります。米国の脆弱性データベース NVD はCVSS v3.1で5.4(中程度)、三菱電機は実際の利用環境に即したCVSS v4.0で5.1とし、攻撃元は「隣接(同じWi-Fi)」、影響は可用性のみ(通信が止まるだけ)と評価しています。今回の脆弱性を見つけて報告したのは、台湾のセキュリティ企業 DEVCORE の研究者で、Realtekの公式情報にクレジットされています。なお、関係者や研究者による本件への言及をX(旧Twitter)で探しましたが、確証のある投稿は確認できなかったため、本記事では埋め込みは行いません。
影響と対策 早見表
| 項目 | 内容 |
|---|---|
| CVE | CVE-2025-49604 (CWE-122 ヒープバッファオーバーフロー) |
| 深刻度 | CVSS v3.1:5.4/v4.0:5.1 (いずれも中程度) |
| 前提 | 攻撃者が同じWi-Fiに接続 +細工フレームを送信(隣接) |
| 影響 | 家電のWi-Fiが一時停止 →スマホからの遠隔操作・登録・情報取得が不可(多くは自動復旧) |
| 情報漏えい・ 乗っ取り | なし(三菱電機が明言) |
| 対策 | 修正版ファームへ更新 /未提供品はWi-Fi設定で緩和 |
記事公開時点で、本件は CISA KEV(実際に攻撃が確認された脆弱性カタログ) には登録されておらず、悪用報告も確認されていません。被害が通信の一時停止に限られることもあり、緊急で慌てる種類の脆弱性ではありません。それでも、対象機種を長く使い続ける家電だからこそ、更新できるものは早めに直しておくのが筋です。家庭ネットワークの土台側でも Wi-Fiルーターの脆弱性 が相次いでおり、入口(ルーター)と末端(家電)の両方を最新に保つ意識が要ります。
利用者がいま取るべき動き
Wi-Fi対応の三菱電機家電を使っている家庭・店舗が対象です。優先順に整理します。
1. アプリでバージョンを確認し、修正版へ更新する。本筋の対応はこれです。「霧ヶ峰REMOTE」「MyMU」など製品ごとのアプリの「アダプター情報」「無線LANソフトウェア」画面からバージョンを確認し、更新が用意されていれば適用してください。更新はアプリ・クラウド経由で行われるため、機器をネットワークにつないだ状態で操作します。
2. 修正版がまだ出ていない機種は、Wi-Fiの守りを固める。三菱電機は、修正版が未提供の製品向けに、家庭側でできる緩和策を案内しています。具体的には、Wi-Fiルーターの暗号化をWPA2(AES)以上にしてWEPや暗号化なしを避ける、推測されにくい強いパスワードにする、見知らぬ機器をつなげないようにする、ルーター自体のソフトも最新に保つ、といった基本対策です。攻撃の前提が「同じWi-Fiにいること」なので、知らない相手をネットワークに入れないことがそのまま効きます。
3. 来客用と家電用のネットワークを分ける。多くのルーターにある「ゲストWi-Fi」を使い、来訪者のスマホやよくわからないスマート機器を、家電をつないだメインのネットワークと別にしておくと、「同じWi-Fiにいる攻撃者」という前提自体を崩せます。これは今回の件に限らず、家庭のスマート家電全般に効く構えです。
4. 家電が反応しないときは、まず再起動。通信が止まっても多くは自動で復旧しますが、戻らないときは機器の電源を入れ直せば回復します。何度も繰り返し止まるような場合は、ネットワークに不審な機器がいないかも併せて点検してください。
家電のWi-Fiは「共通部品」の上に乗っている
今回の件で改めて見えるのは、エアコンや冷蔵庫のような身近な家電も、中身は汎用のWi-Fiチップやその上のソフトでできているという事実です。三菱電機の家電では、2022年にも同じRealtek製チップ由来の不具合(CVE-2022-34326)でWi-Fi通信が一時停止する脆弱性が公表されています。部品が共通であるほど、便利さも一括で手に入る代わりに、弱点も一括で抱え込みます。
Realtekのチップは、ルーターから玩具まで世界中のネット接続機器に広く使われており、過去には 同社のソフト由来の脆弱性が数十のメーカー・数十万台規模に波及した例 もありました。家庭のネットワークには、ルーターのほかにも 共通の部品やソフトを土台にした機器 が増え続けています。一つひとつは小さな脆弱性でも、「自分の家にどんなネット接続機器があり、それぞれ更新できているか」を時々見直すこと自体が、いちばん効く防御になります。今回のように被害が限定的な案件は、その点検を習慣づけるちょうどよいきっかけです。
まとめ、慌てる脆弱性ではないが、放置する脆弱性でもない
CVE-2025-49604は、三菱電機のWi-Fi対応家電に幅広く影響しますが、起きるのは 同じWi-Fiにいる相手からの通信妨害でWi-Fiが一時的に止まる ことだけです。情報の盗み見も、家電の不正操作も起きません。深刻度はCVSS 5.x の中程度で、いま実際に悪用されている形跡もありません。原因は、家電に組み込まれたRealtek製Wi-Fiチップのソフトが、分割された電波を組み立て直すときのサイズ検査を欠いていたことでした。
やることはシンプルです。アプリで自宅の機器のバージョンを確認し、修正版が出ていれば更新すること、まだなら来客用と家電用のWi-Fiを分けて知らない機器を入れないこと。慌てる必要はありませんが、何年も使う家電だからこそ、直せるものは直しておく。家電が急に反応しなくなったときに「もしかして」と思い出せる程度に、頭の片隅に置いておけば十分です。
参照元
- ▸JVNVU#99483706 - 複数の三菱電機製家電製品に搭載されているRealtek社製チップ向けWi-Fiドライバにおけるヒープベースのバッファオーバーフローの脆弱性
- ▸NVD - CVE-2025-49604
- ▸三菱電機 - 脆弱性関連情報(PSIRT)
- ▸Mitsubishi Electric - Advisory 2025-024(対象製品・修正版一覧)
- ▸Realtek Ameba - Security Bulletin CVE-2025-49604
- ▸DEVCORE - CVE一覧(報告者クレジット)
- ▸CWE-122 - ヒープベースのバッファオーバーフロー
- ▸JVNVU#98082029 - 三菱電機製家電のRealtekチップ由来の脆弱性(CVE-2022-34326、2022年)
- ▸CISA KEV カタログ