三菱電機のエアコンや冷蔵庫などWi-Fi家電に侵入の脆弱性 CVE-2026-5667
三菱電機のエアコン・冷蔵庫・給湯機・IH調理器・炊飯器など多くのWi-Fi対応家電に、固定パスワードが埋め込まれた脆弱性が見つかりました。Wi-Fiを有効にしたまま自宅のルーターに未接続の機器は、近くの第三者に運転データを見られたり設定を変えられたりする恐れがあります。対象機種と今すぐできる対策をまとめます。
堀川 慎
Backend Engineer / AWS / Django / Go
三菱電機のエアコン・冷蔵庫・給湯機・IH調理器・炊飯器など多くのWi-Fi対応家電に、固定パスワードが埋め込まれた脆弱性が見つかりました。Wi-Fiを有効にしたまま自宅のルーターに未接続の機器は、近くの第三者に運転データを見られたり設定を変えられたりする恐れがあります。対象機種と今すぐできる対策をまとめます。
三菱電機が2026年6月11日、同社のWi-Fi対応の家電に脆弱性があると公表しました。対象はルームエアコン、冷蔵庫、給湯機、IHクッキングヒーター、炊飯器、浴室の換気乾燥機など、家庭でおなじみの製品が幅広く含まれます。製品に同じパスワードが埋め込まれていたことが原因で、整理番号は CVE-2026-5667 です。
情報処理推進機構(IPA)などが運営する脆弱性データベース「JVN」でも、6月15日に国内向けの注意喚起(JVNVU#99620284)として公開されました。問題の核心は、すべての対象機種に「固定のID(SSID)」と「固定のパスワード」が同じ内容で書き込まれていた点にあります。条件がそろうと、近くにいる第三者がパスワードを入力する必要すらなく、その家電につながってしまう可能性があります。
ただし、影響を受けるのは特定の使い方をしている場合に限られます。慌てて買い替えるような話ではありません。この記事では、何が起きるのか、自分の家電が対象なのかをどう見分けるのか、いま何をすればよいのかを、一般の方向けに順を追って整理します。
何が起きるのか
ひとことで言えば、「電波の届く範囲にいる第三者が、パスワードなしで家電につなぎ、運転データを盗み見たり設定を変えたりできる恐れがある」という問題です。
三菱電機の説明によると、攻撃する側は対象の家電が出すWi-Fiの電波が届く範囲まで近づき、製品に埋め込まれている固定のSSIDと固定のパスワードを使って接続します。接続が成立すると、エアコンの運転状態・室内の設定温度・室温といった機器のデータを盗み取ったり、エアコンやWi-Fiの設定を勝手に変えたり、Wi-Fi通信を一時的に止めて使えなくしたり(サービス妨害、いわゆるDoS)できる可能性があります。
一方で、過度に怖がる必要がない点もはっきりしています。三菱電機はこの製品は氏名や住所などの個人情報を持っていないため、本脆弱性によって個人情報が漏れる恐れはないと明言しています。また、攻撃元はインターネット越しの世界中の誰かではなく、あくまで電波が届く近距離にいる人物に限られます。リモートワーク用のルーターのように、地球の裏側から狙われる類いのものではありません。
この脆弱性の基本情報
- ▸整理番号:CVE-2026-5667(JVNVU#99620284)
- ▸深刻度:CVSS v4.0 で基本値7.2(10点満点中、上から2番目の「重要」クラス)
- ▸原因の分類:ハードコードされた認証情報の使用(CWE-798)=製品の中にIDとパスワードを直接書き込んでしまう作り
- ▸攻撃の前提:パスワード不要(無認証)。ただし家電のWi-Fi電波が届く近距離にいることが必要
- ▸個人情報の漏えい:なし(製品が個人情報を保持していないため)
誰が、何のために狙うのか
「家のエアコンが乗っ取られる」と言われてもピンと来ないかもしれないので、この穴を実際に突く人間がどんな相手で、何を欲しがるのかを、生活の場面に置き換えて整理します。今回の弱点は世界中から踏める種類のものではなく、あくまで電波の届く距離まで近づける人だけが対象になる、という距離感が出発点になります。
そこに立てるのは、たとえばマンションの隣室や上下階の住人、戸建てなら道路や隣の敷地から建物に近づける人、車を路肩に停めてしばらく留まる見知らぬ人、引っ越し後に旧居へ出入りできる前の住人などです。彼らが固定パスワードで家電に入り込んで手に入れるのは、抽象的な「情報」ではありません。エアコンを何時につけて何時に消すか、留守の間は運転が止まっているか、冷蔵庫がいつ開け閉めされているか――つまりその家に人がいる時間帯と、いない時間帯の生活パターンそのものです。固定のパスワードは対象機種で共通なので、電波の届く場所に立たれただけで、上に並べた在宅・留守の癖がそのまま読み取られてしまいます。
運転データの盗み見だけにとどまりません。設定を書き換えられれば、真夏や真冬に冷暖房を勝手に止められたり、希望温度をいじられたりといった嫌がらせが成立します。Wi-Fi通信を止められれば、外出先からスマホアプリで操作することもできなくなります。在宅・留守のリズムは、空き巣が下見で最も欲しがる情報でもあり、生活パターンの収集が次の被害の入口になりかねません。エアコン1台の小さな穴が、家全体の暮らしぶりを外へ漏らす窓口になり得るということです。
CVSSの7.2という数字は、あくまで技術的な深刻度の目安にすぎません。家庭の利用者にとって本当に失われるのは、「家の中の出来事は自分たちだけが知っている」という当たり前の感覚です。命や財産に直結する派手な被害ではないからこそ、気づかないまま生活の様子だけが静かに筒抜けになる、その不気味さが今回の弱点の本質です。
自分の家電は影響を受ける? 3つの状態でチェック
ここが今回いちばん大事なところです。対象機種を使っていても、影響を受けるのは限られた条件のときだけです。三菱電機は、影響の有無が次の3つの状態で決まると説明しています。
| あなたの家電の状態 | 影響 | やること |
|---|---|---|
| Wi-Fi機能を そもそも使っていない (無効のまま) | 影響なし | そのまま使ってOK |
| Wi-Fiを有効にして 自宅のルーターに 接続済み | 影響なし | そのまま使ってOK (修正版が出たら更新) |
| Wi-Fiを有効にしたが ルーターに未接続 (買って放置・初期化後放置) | 影響あり | 下記の対策が必要 |
つまり、危ないのは「Wi-Fiをオンにしたのに、自宅のルーターにはつないでいない」中ぶらりんの状態です。家電が自分の電波を出したまま、誰のものでもない状態で放置されているため、共通パスワードを知っている第三者に横からつながれてしまいます。買ったときの初期設定でWi-Fiを有効化したものの、ルーターとの接続作業を最後までやっていない、あるいは設定をリセットしてそのままにしている、といったケースが該当します。
逆に、最初からWi-Fiを使っていない人や、スマホアプリ(後述の「MyMU」「霧ヶ峰REMOTE」など)で自宅のルーターまできちんとつないで使っている人は、今回の脆弱性の影響を受けません。まずは自分がどの状態かを確認するのが最初の一歩です。
対象になっている家電の種類
対象は数百の型番にのぼり、家庭向けのWi-Fi対応製品が14のカテゴリにまたがっています。主な種類は次の通りです。自分の製品が含まれるかどうかは、最終的に三菱電機の公式アドバイザリ(PDF)に並ぶ型番一覧で確認してください。
| 製品の種類 | 代表的な型番の例 |
|---|---|
| ルームエアコン (霧ヶ峰など) | MSZ-ZWシリーズ MSZ-FZシリーズ ほか多数 |
| エアコン用 無線LANアダプター | MAC-900IF PAC-SK43ML ほか |
| 冷蔵庫 | MR-WXD/MR-MZ/ MR-WZシリーズ ほか |
| ヒートポンプ給湯機・ HEMS対応機器 | GT-RA1/RMCBシリーズ ほか |
| バス乾燥・暖房・ 換気システム | V-241BZ-RC WD-240DK-RC ほか |
| ロスナイ換気システム・ 換気扇用スマートスイッチ | VL-200ZMHSV3-RC P-04SWRC ほか |
| IHクッキングヒーター | RE-322SXR |
| 炊飯器 | NJ-AWBX10 |
エアコンについては、海外向けモデルも対象に挙がっていますが、これらは「Wi-Fi経由で直接操作できる仕組みを持たないため、データの盗み見や設定変更、通信停止にはつながらない」と説明されており、国内向け製品より影響は軽いとされています。いずれにしても、対象かどうかの最終確認は型番ベースで行うのが確実です。
今すぐできる対策
前述のチェックで「影響あり」(Wi-Fi有効・ルーター未接続)に当てはまった場合、取れる対策は大きく2つです。
ひとつは、自宅のWi-Fiルーターにきちんと接続してしまうことです。ルーターと接続が完了した時点で、家電は自分で電波を出しっぱなしにする「中ぶらりん」の状態を抜けるため、今回の脆弱性の影響を受けなくなります。接続方法は、エアコンなら「MyMU」や「霧ヶ峰REMOTE」、冷蔵庫なら「三菱冷蔵庫アプリ」、炊飯器なら「WiFiらく楽炊飯」など、製品ごとのアプリと取扱説明書に従ってください。
もうひとつは、そもそもWi-Fiを使わないなら「無線機能」を無効にしておくことです。ルーターを持っていない、スマホ連携を使う予定がない、という人は、各製品の取扱説明書に沿って無線機能(給湯機は「外部接続」、炊飯器は「通信設定」など名称が異なります)をオフにすれば、それだけで影響を避けられます。
そのうえで、メーカーは修正版(アダプターソフトウェアの更新)を順次提供します。多くのエアコンやアダプターはバージョン43.00以降で対策済みで、アプリから更新できます。一方、製品によっては修正版の公開がこれからのものや、修正版を出す予定がないものもあります。主な公開時期は次の通りです。
| 製品 | 修正版 | 公開時期 |
|---|---|---|
| エアコン・アダプター (国内向け多数) | Ver43.00以降 | 提供済み |
| IHクッキングヒーター・ 炊飯器 | Ver01.90/01.91以降 | 2026年6月29〜30日 |
| 冷蔵庫・バス乾燥暖房・ ロスナイ換気・換気スイッチ | 機種ごとに指定 | 2026年7月6〜17日 |
| エアコン(海外向け)・ 一部アダプター | Ver52.00以降 | 2026年12月予定 |
| 給湯機・HEMS対応機器 | 計画中 (HEMS用は予定なし) | 未定 |
| 一部の旧型番 (MAC-884IFなど) | 提供予定なし | ― |
修正版を出す予定がない製品や、公開を待っている間は、「ルーターに接続する」か「無線機能を無効にする」のどちらかで影響を避けられます。あわせて三菱電機は、Wi-Fiルーター側でも推測されにくいパスワードを使う、暗号化方式はWPA2-PSK(AES)などにする、ルーターを外から触れない場所に置く、といった基本的な対策を呼びかけています。これらは今回の家電に限らず、家庭のネットワーク全体を守るうえで有効です。
なぜ起きたのか、技術的に見ると
原因は、製品の中に「固定のID(SSID)」と「固定のパスワード」を直接書き込んでしまっていたことです。専門的には「ハードコードされた認証情報の使用(CWE-798)」と呼ばれる、組み込み機器で繰り返し問題になってきた典型的な弱点です。出荷時にすべての機器へ同じ合言葉を仕込むと製造や初期設定は楽になりますが、その合言葉が一度知られれば、同じ製品すべてが同じ鍵で開いてしまいます。
今回の深刻度はCVSS v4.0で7.2と評価されています。最高クラスの9点台ではないのは、攻撃元が電波の届く近距離に限られること、被害が主にデータの盗み見・設定変更・通信妨害にとどまり、個人情報の漏えいや機器の物理的な乗っ取りには直結しないことが反映されているためです。報告したのは、ブルガリアのセキュリティ研究者Zachary Mitev氏で、三菱電機は同社のPSIRT(製品セキュリティ窓口)を通じて謝辞を述べています。
三菱電機のWi-Fi家電をめぐっては、少し前にも別の問題が公表されています。2026年4月に明らかになったCVE-2025-49604(同じWi-Fi上の第三者から遠隔操作を一時的に止められる脆弱性)です。前回は「操作を妨害される」だけでしたが、今回はデータの盗み見や設定変更にまで踏み込んでいる点で、影響の幅が広がっています。海外でも、三菱電機の業務用空調システムで認証回避の脆弱性が修正されたことが報じられており、家電のネット接続機能が攻撃対象として注目され続けていることがうかがえます。
まとめ
三菱電機のWi-Fi対応家電に見つかった今回の脆弱性は、「すべての機器に同じパスワードが入っていた」というシンプルな作りの問題から生まれました。命や財産を直接脅かすものではなく、個人情報が漏れる心配もありません。ただし、Wi-Fiを有効にしたまま自宅のルーターにつないでいない機器では、近くにいる第三者に生活のリズムを読み取られたり、冷暖房を勝手に止められたりする恐れがあります。
やるべきことは難しくありません。まず自分の家電が「Wi-Fi無効」「ルーター接続済み」「有効だが未接続」のどれに当たるかを確かめ、未接続なら自宅のルーターにつなぐか、使わないなら無線機能を切る。そして修正版が出たらアプリから更新する。これだけで影響は避けられます。普段は意識しない家電のネット接続機能も、設定の確認だけは一度しておくと安心です。最新の対応状況は三菱電機の脆弱性情報ページで確認できます。不明点は三菱電機お客さま相談センター(0120-139-365)でも案内を受けられます。