激安Wi-Fiカメラやドアベルが乗っ取れる脆弱性、修正なし CVE-2026-28742

TemuやAmazon、AliExpressなどで数百円から数千円で売られている激安のWi-Fiカメラやスマートドアベルに、ログインなしで他人がカメラを乗っ取れる脆弱性が見つかりました。米国のサイバーセキュリティ機関CISAが2026年6月11日に注意喚起（ICSA-26-162-02）を出し、最も深刻なものは10点満点中9.8という最高クラスのCVE-2026-28742です。

対象は「Naxclow（ナクスロー）」というブランドのIoTプラットフォームで動く機器群です。具体的にはスマートドアベル「X3」、ハブ「X Smart Home」、屋外カメラ「V720」、「ix cam」シリーズなどで、いずれも全バージョンが影響を受けます。Naxclowという名前に馴染みがなくても、心当たりはあるかもしれません。これらは中国のメーカーが作り、無名・白ラベルのまま各国の通販で売られている「とにかく安い見守りカメラ／防犯カメラ」です。屋外カメラ「V720」は 日本のAmazonでも日本語マニュアル付きで売られており、専用アプリ「v720」はGoogle Playの日本ストアにも並んでいます。日本の家庭にも入り込んでいる製品です。

そして今回の最大の問題は、これらの欠陥に修正パッチが存在しないことです。後で詳しく触れますが、メーカーはCISAの是正要請に実質的に応じておらず、ソフトを更新する仕組み自体も壊れていると報告されています。つまり、Aqaraのようにメーカーがクラウド側で直してくれる類の話ではありません。利用者が「使い続けるか、外すか」を自分で判断するしかない、というのが今回の本質です。

公開された脆弱性の一覧

CISAの注意喚起ICSA-26-162-02には、計7件の脆弱性がまとめられています。深刻度の高いものから主なものを整理します。

数字の派手さもさることながら、注目すべきは「全機器に同じ暗号鍵が埋め込まれている」というCVE-2026-28742の性質です。1台から鍵を取り出せば、世界中の同型機すべてに対して正規のリクエストを偽造できることになります。1台分の穴ではなく、プラットフォーム全体の穴です。

たった2回のリクエストで、あなたのカメラやドアベルの持ち主が、本人の知らないうちに別人へすり替えられてしまいます。

しかも、この欠陥を塞ぐパッチは出ていません。

玄関の安カメラ一台から、家のネットワーク全体が崩れる

この脆弱性で一番怖いのは、乗っ取りに正規の利用者である必要も高度な技術も要らず、そのうえ直す手段が用意されていないことです。狙ってくるのは遠い国のハッカーだけではありません。室内をのぞき見たい第三者、別れた交際相手や元同居人、転売目的で他人の家の中を物色する者、そして家庭内ネットワークを踏み台にして次の標的へ進みたい侵入者です。彼らが手に入れるのは、玄関先と室内のライブ映像と音声、Wi-Fiのパスワード（WPAキー）、在宅か不在かが分かる生活パターン、機器を識別する番号です。全機種で共通の署名鍵が使われている以上、攻撃者はわずか2回のリクエストを送るだけで、あなたのカメラを持ち主ごと自分の管理下に移し替えてしまいます。

奪われた先の被害は、カメラ1台の問題では終わりません。今回いちばん効くのは、Wi-Fiのパスワードまで平文で漏れるという点です。攻撃者は乗っ取ったカメラを足がかりに、同じWi-Fiにつながっている家中の機器——パソコン、NAS（家庭用ファイルサーバー）、ほかのカメラ、スマート家電——へ次々と手を伸ばせます。研究者の言葉を借りれば「表は12ドル、裏は家庭内ネットワーク全体の侵害」です。室内の映像は、のぞき見そのものに加え、転売・脅迫・つきまといの材料にもなります。玄関に付けた安いカメラ1台が、家のネットワーク全体への入口に変わってしまうのが、この事案の本当の怖さです。

そして、この被害には責任を取って直す主体が見当たりません。通常はメーカーがパッチを出して塞ぎますが、Naxclowは白ラベルの無名業者で、CISAの調整に実質的に応じておらず、ソフトを遠隔更新する経路（OTA）も壊れていると報告されています。つまり、守ってくれる相手が不在のまま、製品だけが家庭に残っている状態です。CVSS 9.8という数字以上に、この案件の本当のコストは「直せない」ことそのものにあります。だからこそ、買った一人ひとりが、使い続けるか外すかを自分で決めるしかありません。

そもそも、どういう製品なのか

問題の機器は、通販サイトで「ミニカメラ」「防犯カメラ」「ワイヤレスカメラ」「スマートドアベル」といった名前で、1,000〜3,000円ほどで大量に売られているタイプです。箱やページにメーカー名がはっきり書かれていないことも多く、同じ中身の製品が別々のブランド名で出回っています。これらの多くが、今回名指しされた中国・広州のメーカー（Guangzhou Qiangui IoT Technology）が運営する「Naxclow」のクラウド基盤につながって動いています。

動きの仕組みはこうです。カメラ本体は自宅のWi-Fiにつながり、撮った映像はいったんメーカーのクラウドを経由して、スマホの専用アプリ（「X Smart Home」や「v720」など）に届きます。外出先からでも見られるのはこの仕組みのおかげですが、裏を返せば、映像も操作も、メーカーのクラウドと、その通信の安全性に丸ごと預けているということです。今回はその通信の守りが、考えうる限り雑だった、という話になります。

日本でも、この手の激安カメラのリスクは以前から指摘されてきました。総務省とNICTが続けている 「NOTICE」 のような、IoT機器の脆弱な設定を調べて注意を促す取り組みもあります。今回のNaxclowは、その「安い海外製IoTカメラは中身が危ういことがある」という警告が、具体的なCVE番号とCISAの注意喚起という形で裏づけられた事例だと言えます。

12ドルのドアベルを分解して分かったこと

今回の問題を見つけたのは、セキュリティ研究者のTemuri Takalandze氏（ABGEO）です。きっかけは、Temuで12ドルで買ったスマートドアベル「X3」を分解し、通信を解析したことでした。出てきたのは、安さの裏に隠れた次のような中身です。

通信を守るはずの「署名」が、全機器で同じ固定値（ハードコードされた文字列）を使って計算されていたため、その値さえ分かれば誰でも正規のリクエストになりすませました。さらに、本来は本人だけができる「機器とアカウントのひも付け」を、攻撃者が手順をなぞるだけで上書きでき、たった2回のやり取りで持ち主を入れ替えられたといいます。Takalandze氏はこの状況を「$12 on the front. Whole-network compromise on the back.（表は12ドル。裏は家庭内ネットワーク全体の侵害）」と表現しています。同氏のX（旧Twitter）アカウントは @abgeo07 です。

主な脆弱性を個別に見る

CVE-2026-28742: 全機器共通の暗号鍵（CVSS 9.8）

リクエストの正しさを確かめる「署名」の計算に、全機器で共通の固定値（鍵）が埋め込まれていた問題です（CWE-321: ハードコードされた暗号鍵）。ベクトルは AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H で、ネットワーク経由・認証不要・利用者操作不要のまま、機密性・完全性・可用性のすべてに最大の影響が及びます。1台から鍵を取り出せば、プラットフォーム全体に対して任意の機器・アカウント操作のリクエストを偽造できるため、今回の中心となる欠陥です。

CVE-2026-42947: 手順の再生で持ち主をすり替え（CVSS 8.8）

機器を初期設定でアカウントにひも付ける「確認してから結びつける」手順を、攻撃者がなぞって再生することで、被害者の機器を自分のアカウントへ静かに移し替えられる問題です（CWE-639: 利用者が操作できる値による認可回避）。元の持ち主はアクセスを失いますが、機器自体は何事もなく動き続けるため、乗っ取られたことに気づきにくいのが厄介です。

CVE-2026-50101: 更新されない中継用の認証情報（CVSS 8.1）

映像を中継するための認証情報が、有効期限なしで使い回されていた問題です（CWE-262: パスワードの定期更新をしていない）。一度漏れた認証情報がいつまでも有効なため、攻撃者は時間をかけて悪用できます。

CVE-2026-50108: 他人の認証情報が読める認可不備（CVSS 7.5）

権限のチェックが抜けており、本来は見えてはいけない他人の認証情報などにアクセスできてしまう問題です（CWE-862: 認可の欠落）。連番の機器ID（CVE-2026-42932）と組み合わさると、多数の機器の情報をまとめて引き出す総当たりが容易になります。

一番の問題は「直せない」こと

ここまでの欠陥は、どれも修正パッチを当てれば塞げる種類のものです。ところが今回は、その当たり前の前提が崩れています。CISAの注意喚起によれば、メーカーのNaxclowはCISAからの複数回の連絡に応答せず、修正の提供も確認できていません。研究者への返答も、公開翌日にいったん受け取りを認めたものの、修正の時期は示されなかったと報告されています。

さらに深刻なのが、これらの機器は遠隔でソフトを更新する仕組み（OTAアップデート）自体が壊れていると指摘されている点です。仮にメーカーが直す気になっても、すでに各家庭に設置された機器へ修正を配る道がない、ということになります。スマホアプリの更新ではカメラ本体の根本的な欠陥は塞げません。結果として、利用者の手元に残るのは「修正される見込みのない、乗っ取り可能なカメラ」だけです。

なお、現時点でこの脆弱性が実際の攻撃に使われたという報告や、CISAの「悪用が確認された脆弱性」リスト（KEV）への登録はありません。研究者も、攻撃を再現できる具体的なコードや鍵の中身は公開していません。とはいえ、ネット上には同種の機器が大量に露出しているとされ、安価な中国製IoTカメラはこれまでも乗っ取り型のボットネット（Mirai系など）の標的になってきた経緯があります。「まだ攻撃されていない」と「安全だ」は別の話です。

このカメラを使っている人がすべきこと

修正が望めない以上、対応の考え方は「直す」ではなく「危険を遠ざける」になります。研究者やCISAの推奨もこの方向です。

もっとも確実なのは、対象の機器の使用をやめることです。特に寝室や子ども部屋など、映像が外に出ると困る場所に付けているなら、まずそこから外してください。買い替えるまで使い続ける場合は、家のパソコンやNASとは別のWi-Fi（ゲスト用ネットワークなど）に隔離し、母艦のネットワークから切り離すと、万一乗っ取られても被害をカメラ単体に留めやすくなります。すでに設置していたなら、Wi-Fiのパスワードは変更しておくと安心です。

技術的に見ると ── 「安さ」の値段は誰が払うのか

今回見つかった欠陥は、どれもセキュリティの基本を外したものばかりです。全機器で同じ鍵を使う、通信を平文で流す、IDを連番にする、デバッグ端子を本番基板に残す——いずれも、まともに設計していれば避けられたはずの初歩的な失敗です。問題は、こうした製品が「安く早く出す」ことだけを優先し、認証や暗号化のコストを最初から払っていない点にあります。数百円のカメラに、堅牢なクラウド運用やパッチ提供の体制を期待するのは、そもそも無理がある、とも言えます。

数時間前に公開した Aqaraのスマートロック・カメラの脆弱性 と比べると、構図の違いがはっきりします。Aqaraは曲がりなりにも名の知れたブランドで、メーカーがクラウド側で修正を進めました。今回のNaxclowは、ブランドの実体が薄く、直す主体も直す経路も存在しません。同じ「クラウド経由のカメラ」でも、買う前にメーカーが脆弱性に対応する体制を持っているかどうかが、いざという時の明暗を分けます。見守りカメラや防犯カメラのように、家の中をのぞく機器を選ぶときは、価格の安さだけでなく「問題が起きたとき直してくれる相手がいるか」を判断材料に加える必要があります。

まとめ

TemuやAmazonで安く売られているNaxclowブランドのWi-Fiカメラ・ドアベル（V720、X3など）に、ログインなしで他人がカメラを乗っ取れる脆弱性が見つかり、CISAが注意喚起を出しました。全機器共通の暗号鍵（CVE-2026-28742、CVSS 9.8）や、無音で持ち主をすり替える欠陥により、たった2回のリクエストでカメラが奪われ、Wi-Fiパスワードまで漏れて家のネットワーク全体が危険にさらされます。最大の問題は、メーカーが対応せず、修正パッチを配る経路も壊れていて、直しようがないことです。

実際の攻撃やKEV登録はまだ確認されていませんが、修正の見込みがない以上、対象の機器は使用をやめる、せめて室内から外して家のネットワークから隔離する、という判断が現実的です。数百円のカメラの「安さ」の代金は、家の中の映像とWi-Fiパスワードという、取り返しのつかない形で請求されることがある——今回はそのことを思い出させる事例です。

参照元

• ▸CISA - Naxclow IoT Platform（ICSA-26-162-02）
• ▸Temuri Takalandze（ABGEO）- Anyone Can Ring Your Doorbell（研究者の原文）
• ▸NVD - CVE-2026-28742 ／ 42947 ／ 50101 ／ 50108
• ▸Amazon.co.jp - V720 家庭用監視カメラ（国内販売の一例）
• ▸NOTICE - 総務省・NICTによるIoT機器の調査・注意喚起