NEC Atermの人気Wi-Fiルーター9機種に新たな脆弱性、3月の大型修正に続く第2弾
NECは2026年5月25日、家庭用Wi-FiルーターAtermシリーズの9機種に管理画面経由で任意のスクリプトを実行される脆弱性、業務用LTEルーター2機種にOSコマンド実行の脆弱性を公表した。21機種に影響した3月の大型修正に続く第2弾で、対象モデルの所有者はファームウェア更新が呼びかけられている。
ニュース
kkm
Backend Engineer / AWS / Django
NECは2026年5月25日、家庭用Wi-FiルーターAtermシリーズの9機種に管理画面経由で任意のスクリプトを実行される脆弱性、業務用LTEルーター2機種にOSコマンド実行の脆弱性を公表した。21機種に影響した3月の大型修正に続く第2弾で、対象モデルの所有者はファームウェア更新が呼びかけられている。
3月の大型脆弱性から2カ月、再びAtermに修正版
NECプラットフォームズは2026年5月25日、家庭用Wi-Fiルーター「Aterm」シリーズに2件の脆弱性が見つかったとして、修正ファームウェアを公開しました。1件目はクロスサイトスクリプティング(XSS)のJVN#69049186(NV26-002 / CVE-2026-6059)で、Wi-Fi 6・6E・7世代を中心に9機種が対象。2件目はOSコマンドインジェクションのJVN#80890147(NV26-003 / CVE-2026-8652)で、業務用LTEルーター2機種が対象です。
XSSは、攻撃者が細工したリンクや入力をブラウザに実行させ、被害者の画面の中で勝手にJavaScriptを動かす古典的な攻撃です。家庭用Wi-Fiルーターのケースでは、管理者が管理画面(Atermでは「クイック設定Web」と呼ばれます)にログインしている最中に踏むと、Wi-Fiパスワードや無線設定が裏で書き換えられる、あるいは管理者セッションを奪われる可能性があります。OSコマンドインジェクションのほうはさらに直接的で、管理画面の入力欄や設定APIに細工した文字列を送り込むことで、ルーターのOSに任意のコマンドを実行させる――いわば管理者になりすました状態から、機器そのものを乗っ取りに行く攻撃です。
今回の2件はいずれも単体ではCVSSスコアが伏せられており、緊急度の数値表現はありません。しかし、2026年3月に同じAtermシリーズで明らかになった「NV26-001」の余波として読むと、見え方が変わります。NV26-001は21機種に影響し、認証バイパス・パストラバーサル・OSコマンドインジェクション2件に加えて、第三者がtelnetを有効化できる「CVE-2026-4621」――いわゆる隠し機能(バックドア)――まで含む、Atermの歴史上でも最大級の修正告知でした。今回のNV26-002 / NV26-003は、そのNV26-001で修正対象とならなかった新世代モデル、あるいは別系統の業務用機器に対する追加対応という色合いが濃く出ています。
以下、2件の脆弱性の中身、影響を受ける11機種の一覧、3月のNV26-001から今日までの動き、そして家庭・小規模オフィスの利用者がいま何をすればよいかを順に書いていきます。読者として想定しているのは「自宅のAtermが対象かどうか分からない」一般ユーザーと、「会社の支店や倉庫で業務用Atermを置いている」情シス担当者の双方です。
NV26-002 / NV26-003の概要
| 項目 | NV26-002(XSS) | NV26-003(OSコマンド実行) |
|---|---|---|
| CVE | CVE-2026-6059 | CVE-2026-8652 |
| JVN | JVN#69049186 | JVN#80890147 |
| 脆弱性の種別 | クロスサイトスクリプティング (CWE-79) | OSコマンドインジェクション (CWE-78) |
| 対象機種数 | 9機種 (家庭用Wi-Fi 6 / 6E / 7) | 2機種 (業務用LTEルーター) |
| 影響 | 管理画面を開いた利用者の ブラウザで任意のスクリプトが動く | 管理者として、機器のOSで 任意のコマンドが実行される |
| 公表日 | 2026年5月25日 | 2026年5月25日 |
| 対策 | 機種ごとに用意された 修正版ファームウェアに更新 | 同上 |
| 報告者 | サイバーディフェンス研究所 岩崎徳明氏 | 三井物産セキュアディレクション 加藤創氏 |
9機種に影響したXSS(NV26-002)の中身
NV26-002はWi-Fi 6・6E・7世代のAtermが中心です。JVN#69049186に掲載された対象機種は、Wi-Fi 6の主力WX1800HP / WX3000HP2 / WX4200D5、Wi-Fi 6EのWX5400HP、フラッグシップのWi-Fi 7モデルWX7800T8 / WX11000T12、それに法人向けOEMのGX621A1 / SH621A1、店舗・拠点向けの19000T12BEの計9機種。家電量販店で「Aterm WXシリーズ」として並んでいる機種の主要なところがほぼ並んでいる構成です。
脆弱性そのものはWeb管理画面(クイック設定Web)に潜んでいて、JVNの説明では「当該製品のWeb管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性」とされています。管理画面に出力される文字列のどこかでエスケープが抜けており、攻撃者が細工した値を保存させておくか、細工したURLを管理者に踏ませることで、ブラウザに任意のJavaScriptを流し込めるという構造です。Webアプリケーションの脆弱性としては定番中の定番で、OWASPの分類でも長年トップ10に入り続けている古典的な問題です。
「ルーターのXSSなんて、外から踏ませようがないのでは」と感じるかもしれません。しかし、家庭用ルーターを狙う攻撃シナリオはここ数年でかなり整理されてきており、たとえばマルウェアに感染したPCやスマートフォンから同じLAN上のルーター管理画面に細工された設定値を投入する、いったん管理者セッションを乗っ取ってDNS設定を書き換えて偽サイトに誘導する、といった「LAN内からの足場固め」に十分使われます。攻撃者の視点では、ルーターを取れればその家庭・拠点すべての通信が見えるので、コスパの高い標的という位置づけです。
業務用LTEルーター2機種を狙うOSコマンド実行(NV26-003)
NV26-003はNV26-002より影響範囲は狭く、業務用LTEルーターのMR51FN(Ver.3.4.0より前)とCM51FD(Ver.1.2.0より前)の2機種が対象です。家庭ではあまり見かけませんが、店舗のレジ通信、無人施設の遠隔監視、建設現場の臨時オフィスなど「光回線が引けない場所のインターネット回線」として大量に導入されている系統で、企業の支店・拠点の運用に深く入っているモデルです。
JVN#80890147によれば、攻撃が成立するには「管理者としてWebコンソールにログイン」している必要があります。一見、攻撃のハードルが高そうに見えますが、業務用ルーターは初期設定のまま運用されているケースがしばしばあり、出荷時のパスワードを変えずに使っている拠点や、設定担当者が辞めて誰も触っていない拠点ほど、内部の攻撃者(席にいる従業員、清掃や工事で立ち寄った外部業者、無線LANにつないだ来客のPCなど)から狙われやすくなります。管理画面に入られてしまえば、OSコマンドインジェクションを足がかりに本格的な乗っ取りに進めます。
影響を受ける版数はMR51FNが「Ver.3.4.0より前」、CM51FDが「Ver.1.2.0より前」。修正版はそれぞれVer.3.4.0以降、Ver.1.2.0以降で配布されています。業務用機種のため、量販店店頭の自動アップデートのような仕組みは弱く、原則として情シス担当者が拠点ごとにファームウェアを当てていく運用になります。導入時期の古い拠点ほど忘れられがちなので、配布リストの再点検が必要です。
影響を受ける11機種と修正版バージョン
NV26-002 / NV26-003の対象機種と、それぞれの修正版ファームウェアを以下にまとめます。ご自宅・拠点のAtermが入っていないかをこの表でまず確認してください。型番は機器の底面または背面のラベルに書かれています。
対象機種と修正版ファームウェア
| 機種 | 世代 / 種別 | 対象アドバイザリ | 影響を受ける版 | 修正版 |
|---|---|---|---|---|
| WX1800HP | Wi-Fi 6 家庭用 | NV26-002 | Ver.3.2.2より前 | Ver.3.2.2以降 |
| WX3000HP2 | Wi-Fi 6 家庭用 | NV26-002 | Ver.1.3.2より前 | Ver.1.3.2以降 |
| WX4200D5 | Wi-Fi 6 家庭用 | NV26-002 | Ver.1.3.5より前 | Ver.1.3.5以降 |
| WX5400HP | Wi-Fi 6E 家庭用 | NV26-002 | Ver.2.1.0より前 | Ver.2.1.0以降 |
| WX7800T8 | Wi-Fi 7 家庭用 | NV26-002 | Ver.1.5.1より前 | Ver.1.5.1以降 |
| WX11000T12 | Wi-Fi 7 家庭用(フラッグシップ) | NV26-002 | Ver.1.4.0より前 | Ver.1.4.0以降 |
| GX621A1 | 法人OEM(ホームゲートウェイ) | NV26-002 | Ver.3.2.2より前 | Ver.3.2.2以降 |
| SH621A1 | 法人OEM(ホームゲートウェイ) | NV26-002 | Ver.3.2.2より前 | Ver.3.2.2以降 |
| 19000T12BE | Wi-Fi 7 拠点向け | NV26-002 | Ver.1.1.0より前 | Ver.1.1.0以降 |
| MR51FN | 業務用LTEルーター | NV26-003 | Ver.3.4.0より前 | Ver.3.4.0以降 |
| CM51FD | 業務用LTEルーター | NV26-003 | Ver.1.2.0より前 | Ver.1.2.0以降 |
家庭向けではWX5400HP・WX7800T8・WX11000T12が特に流通量が多く、量販店でも「Wi-Fi 6E / 7に買い替えるなら」という売り場の主力です。最近2〜3年の間に新しいAtermを買い替えたという家庭はこの3機種のどれかである可能性が高く、まずは自宅のルーターをひっくり返して型番ラベルを確認するところから始めるのが近道です。
2026年のAtermに起きていることを時系列で見る
今回のNV26-002 / NV26-003は単発の発表というより、3月のNV26-001から始まった一連の動きの「第2弾」として理解したほうが状況がつかみやすくなります。Atermを取り巻く2026年の流れを時系列で並べると以下のようになります。
← スワイプで移動
3月のNV26-001は対象機種が21機種、しかも修正対応されないEOL機種が9つも含まれた「Atermの世代交代の合図」のような告知でした。そこから2カ月、今度は新しい世代に当たるWi-Fi 6 / 6E / 7のラインで別系統の脆弱性が見つかっています。一連の動きは、外部のセキュリティ研究者が腰を据えてAtermに調査を入れ続けていることを示しています。NV26-002の報告者は前述の通りサイバーディフェンス研究所の岩崎氏、NV26-003は三井物産セキュアディレクションの加藤氏で、いずれも国内有力ベンダーのリサーチャーです。
JVN(Japan Vulnerability Notes)からも今回の2件は同じタイミングで告知されました。@jvnjpのアカウントから1分差で投稿されており、続報を待っていた読者の目に同時に飛び込んだ形です。
「管理画面に入れないと攻撃できない」は安心材料にならない
NV26-002のXSS、NV26-003のOSコマンド実行とも、攻撃を成立させるには「管理画面にアクセスできる」「管理者としてログインできる」という前提があります。ここだけ読むと、外からインターネット越しに無条件で乗っ取られるタイプの脆弱性とは違うように見えます。実際、IPAやJVNの公開情報を見て「うちはLANの内側だけで使っているから大丈夫」と判断してしまう利用者は少なくないでしょう。
ただし、家庭用Wi-Fiルーターの「管理画面に入れる人」は、想像よりずっと広い範囲に存在します。まず、デフォルトの管理者パスワードを変更していない機器は、同じLAN上にいる端末(家族の友人のスマホ、宅配のスタッフが繋いだPC、IoT家電が乗っ取られた状態)から簡単に開かれます。次に、賃貸住宅の据え置き型ルーターやマンションの共有Wi-Fi、店舗の従業員用Wi-Fiなどは「LAN内」と言いつつ事実上不特定多数が出入りしており、管理画面に入る経路はあちこちに開いています。さらに、家庭でも仕事用PCにマルウェアが入ると、そこを踏み台にして家庭内ルーターの管理画面が叩かれます。
ルーターを取られると何が起きるかは、過去の事例がよく示しています。DNSサーバーの設定をすり替えて偽の銀行サイトに誘導する、ファームウェアを書き換えて常駐型のマルウェアを仕込む、ボットネットに組み込んで他者への攻撃に加担させる、といった被害が報告されています。とくにDNS書き換え型のフィッシングは、本人が正規のURLを打っていても偽サイトに飛ばされるため気付きにくく、家庭用ルーターを取られる典型的なリスクとしてIPAも継続して注意喚起を出しています。
つまり「認証必須だから一段落」ではなく、「認証されていないと攻撃できない」という防御線そのものが、家庭・小規模オフィスではあまり当てにならないというのが現実です。今回のNV26-002 / NV26-003を「対岸の火事」と扱えないのはこの構造があるからで、対象機種のオーナーは早めに修正版ファームウェアを当てておくのが結局いちばんコストが低い対応になります。
自宅・拠点のAtermで何をすればいいか
対応はシンプルで、対象機種であれば修正版ファームウェアに更新するだけです。Atermはおおむね「クイック設定Web」と呼ばれる管理画面からファームウェア更新ができます。最近のモデル(WX5400HP・WX7800T8・WX11000T12など)はAterm検索ツールやAtermスマートリモコンアプリからも実行できます。
家庭用の利用者向けに、典型的な手順を書いておきます。まず、Atermにつないだ端末のブラウザで http://aterm.me/ または http://192.168.10.1/ を開きます(接続方式によってアドレスは変わります)。管理者ユーザー名「admin」と機器底面に書かれているWebパスワードでログインしたら、左メニューから「メンテナンス」→「ファームウェア更新」と進みます。「最新バージョンの確認」を押し、上述の表で示した修正版以上が当たっていればOK、当たっていなければ「更新」ボタンで適用します。更新中はルーターが再起動するため、家族にWi-Fiが数分切れる旨を伝えてから実行するとトラブルが減ります。
業務用のMR51FN・CM51FDについては、出荷時に専用のWeb管理画面が用意されており、情シス担当者はNECグループ製品セキュリティ情報のページから機器ごとのファームウェア配布ページに飛んでイメージを取得し、各拠点の機器に当てていく流れになります。複数拠点に展開している場合は、拠点ごとのバージョンを台帳で管理しておかないとパッチ漏れが必ず起きるので、これを機に資産情報を棚卸ししておくのがおすすめです。
なお、Aterm自体は購入してからすでに数年経っているケースも多いはずです。型番ラベルを見て、それがNV26-001で対象になった21機種(WG1200HP2・WG1900HP・WG1800HP3・WG2600HP3など)に該当する場合は、今回の2件とは別の話として、改めてJVN#89339669の対象リストと修正ファームの有無を確認することをおすすめします。修正対応がない(EOL)機種に該当する場合は、買い替えを検討する時期だと考えてください。
ネット上の反応
5月25日の昼にJVNからNV26-002 / NV26-003が告知されると、SNS上では「対象機種が多い」「またAtermか」という声が並びました。IT系メディアのケータイ Watchは告知直後に「対象機種が割と多いので注意」とコメント、対象11機種のうち9機種が家庭用ということもあり、一般読者の関心も高い様子です。
家庭利用者からは「自分のAtermが対象だった」「3月にも騒ぎがあったばかりなのに」という反応も。3月のNV26-001で対象機種が21機種に及んだ印象がまだ強く、Atermを買い替えたばかりの利用者にとっては心理的にこたえる発表になっています。一方で「ちゃんとJVN経由で公表してファームを配布している」点を評価する声もあり、対応そのものは標準的な開示プロセスに沿った形と言えます。
? ネット上の反応(要点整理)
- ?「対象機種が多い」 ― 家庭用Wi-Fi 6 / 6E / 7の主力モデルがほぼ並んでいるため、心当たりのある利用者が多い
- ?「またAtermか」 ― 3月のNV26-001の印象が残っており、連続の告知に疲れを感じる声
- ?「対応そのものは妥当」 ― JVNを経由した同時告知と修正版配布の流れには評価する声
- ?「業務用も対象」 ― MR51FN・CM51FDは拠点に置きっぱなしのケースが多く、情シス担当者から注意喚起
2026年のAtermに何が起きているか
国内の家庭用Wi-Fiルーター市場でAtermは長年の定番ブランドで、新築マンションのプロバイダ標準セットや、量販店の「とりあえずこれ買っとけ」の棚に並んでいる安心感があります。だからこそ、3月のNV26-001、5月のNV26-002 / NV26-003と立て続けに脆弱性が出てくる状況は、利用者にとっては気持ちのよいものではありません。
一方で、外部リサーチャーが本気でAtermに調査を入れた結果として脆弱性が次々に表に出てきているとも言えます。これまでは「報告されないだけで残っていた」可能性が高く、その意味では世代交代と棚卸しの時期にAtermが入ったと見るのが現実的でしょう。利用者としてできることは、対象機種かどうかを確認してファームを当てる、EOLになっている機種は思い切って買い替える、管理画面のパスワードはデフォルトから必ず変更しておく、という基本動作の積み重ねです。
この先1〜2カ月は、NV26-001で対象から漏れていた他の機種・別系統の業務向け機器について、似たような追加告知が出る可能性があります。NECのセキュリティ情報ページ(jpn.nec.com/security-info/)とJVNのフィードを並行で見ておくと、続報があれば素早く拾えます。本記事も、新しい告知が出た時点で続報を追記する予定です。