TP-LinkのTapo家電に通信傍受の脆弱性 CVE-2026-34126、設定時に更新を

家庭向けのスマート家電として人気のあるTP-LinkのTapoシリーズで、初期設定のときにやり取りする通信が暗号化されず、すぐ近くにいる第三者に盗み見られる脆弱性（情報セキュリティ上の欠陥）が見つかりました。情報処理推進機構などが運営する脆弱性情報の窓口JPCERT/CCが、2026年6月4日にJVN#70631953として公表したもので、共通の管理番号はCVE-2026-34126です。

対象になるのは、色を変えられるスマートLED電球「Tapo L535E」、コンセントを遠隔操作できるスマート電源タップ「Tapo P300」、玄関のビデオドアベルなどに付属する室内チャイム「Tapo D100C」の3種類です。いずれも箱から出して最初にスマホアプリと接続するとき、Bluetoothを使った通信が暗号化されないまま流れていました。TP-Linkはすでに修正版のファームウェア（機器を動かす内部ソフト）を公開しており、対象機種を持っている人は最新版への更新が求められます。

この記事では、どの製品が対象なのか、何が起きるのか、実際に悪用される条件はどれくらい厳しいのか、そして手元の機器でいま何をすればいいのかを、専門知識がなくてもわかるように整理します。

どの製品が対象で、どのファームに更新すればいいのか

対象は次の3製品です。いずれも日本国内でも販売されている、Tapoブランドの家庭向けスマート家電です。修正版のファームウェアは製品ごと・販売地域ごとに番号が異なります。日本向け（地域コードJP）の修正版は下の表のとおりです。

見落としやすいのが3つめのTapo D100Cです。これは単体で買うチャイムというより、玄関のビデオドアベルやスマートロックを買ったときに「室内で鳴る受信機」としてセットに付いてくる機器です。JVNによると、D100CはD130・D210・D235・D225・TD21・TDB21・TD25といった製品にも同梱されています。これらのドアベル・スマートロックのキットを使っている人は、知らないうちに対象機器を家の中に置いている可能性があります。

なお、海外向けにはTapo L535Eのv3.0（地域コードEU/US）、Tapo P300のEU向け（1.4.2 Build 251219 Rel.142654 以降）など別の修正版も用意されています。日本国内で買った製品であれば、上の表の日本向けファームが基準になります。更新方法は後半の「いま何をすればいいのか」で具体的に説明します。

何が起きるのか。設定のときの通信が暗号化されていなかった

Tapoの機器は、買ってきて最初にスマホアプリ「Tapo」とつなぐとき、まずBluetoothで近くのスマホと通信し、そこで自宅のWi-Fiにつなぐための情報などをやり取りします。設定が終われば以降はWi-Fi経由で動くため、Bluetoothを使うのは基本的にこの最初のセットアップのときだけです。

今回の問題は、この設定時のBluetooth通信が暗号化されず、平文（だれでも読める状態の生のデータ）のまま流れていたことです。暗号化されていれば、たとえ電波を横取りされても中身は読めません。ところが平文だと、Bluetoothの電波が届く範囲にいる第三者が専用の機材で電波を拾うだけで、設定中にやり取りされている情報の中身を見られてしまいます。

CVE-2026-34126：初期設定時のBluetooth通信が平文で流れる

この欠陥にはCVE-2026-34126という管理番号が割り当てられています。技術的な分類では「機密情報の平文送信（CWE-319）」にあたり、本来は暗号化して隠すべき情報を、隠さないまま送ってしまうタイプの問題です。JVNはこの脆弱性を、合同会社エルプラスのeyegrep氏とizurina氏が報告したとしています。

JVNの説明によれば、想定される影響は単なる盗み見だけではありません。中間者攻撃（通信の間に割り込んで内容を書き換える手口）やBluetoothの盗聴によって、通信内容を傍受・改ざんされたり、初期設定の最中に機器を不正に乗っ取られたりする可能性があるとされています。深刻度を10点満点で表すスコア（CVSS v4.0）は7.3で、4段階で上から2番目の「重要（High）」に分類されています。

この穴を、どんな人が、何のために狙うのか

不気味なのは、この脆弱性が成立する舞台が「遠い国のサーバー」ではなく、あなたが新品の電球やドアベルを箱から出して設定している、その数分間そのものだという点です。攻撃に高度な遠隔技術は要らず、必要なのはBluetoothの電波が届く距離まで近づくこと、ただそれだけです。

距離にして数メートル以内にいる人を思い浮かべてみてください。同じマンションの隣室や上下階の住人、シェアハウスの同居人、引っ越したばかりの部屋に内見や工事で出入りした人、コワーキングスペースや実家の隣の部屋。こうした相手が、あなたが新しいTapo機器を設定している間にそばでノートPCを開いていれば、設定中にやり取りされる自宅Wi-Fiに接続するための情報や、Tapoアカウントと機器をひも付けるための情報が、暗号化されないまま相手の手元に流れ込みます。設定の数分間だけ電波を拾われれば、あなたが守っているつもりの「家の中だけのつながり」が、その場で外に書き出されてしまうのです。

さらに厄介なのは、JVNが「傍受」だけでなく「改ざん」と「機器の不正な制御」にも触れている点です。これはつまり、ただ覗き見るのではなく、設定の通信に割り込んで偽の指示を混ぜ込み、その機器を自分の支配下に置く（中間者攻撃）余地があるということです。相手がドアベルや見守りカメラの仲間であれば、玄関先の映像や呼び出しが誰の手に渡るのかという話に直結します。電源タップなら、家電のオン・オフを外から握られる入り口になりえます。

スコアの「7.3」という数字は、あくまで技術的な深刻度の物差しにすぎません。家庭の利用者にとって本当に失われかねないのは、玄関を映すドアベルの主導権であり、自宅のWi-Fiという家じゅうの機器がぶら下がる回線への足がかりです。新しいスマート家電を増やした安心感の裏で、設定のほんの数分が他人に開かれていた、というのが今回の中身です。

実際に悪用される条件はどれくらい厳しいのか

過度に怖がる必要はありません。この脆弱性が突かれるには、いくつもの条件がそろう必要があります。インターネット越しに世界中から一斉に狙えるタイプの問題ではない、という点は最初にはっきりさせておきます。

CVSSの内訳を読み解くと、攻撃が成立するには次の条件が要ります。まず攻撃者はBluetoothの電波が届く至近距離（隣接ネットワーク）にいる必要があります。次に、その攻撃は機器の初期設定が行われているまさにその瞬間に仕掛けなければなりません。Bluetoothは設定時にしか使われないため、平文の情報が流れるのは設定中だけだからです。さらに利用者側の操作（製品をセットアップする行為）が前提になり、攻撃を成功させるためのタイミングや準備も求められます。

一方で軽視できないのは、この攻撃にパスワードやログインといった事前の認証がいっさい要らない点です。攻撃者は正規の利用者になりすます必要も、アカウントを乗っ取る必要もなく、ただ電波の届く場所にいて設定の瞬間を捉えるだけで成立します。「条件は限定的だが、その条件さえ満たせば認証の壁なしに通る」というのが、深刻度が7.3まで上がっている理由です。先に公開した工場向けソフトの無認証リモート攻撃のような「ネット直結で一撃」とは性質が異なり、こちらは近接が前提の物理的な攻撃面です。

なお、米国の政府機関CISAが「実際に攻撃に使われている脆弱性」をまとめたKEVカタログには、2026年6月5日時点で本件は登録されていません。攻撃の実証コード（PoC）の公開も確認されていません。現時点で「いま現に悪用が広がっている」状況ではありませんが、設定時という限定的な場面で確実に情報が漏れる構造そのものは残るため、修正版への更新で塞いでおく価値は十分にあります。

なぜTapoでは設定まわりの問題が繰り返されるのか

Tapo製品で「設定時の通信が無防備だった」という指摘が出るのは、実は今回が初めてではありません。2023年には、研究者がスマート電球「Tapo L530E」とアプリの間でやり取りされる認証情報が平文に近い形で扱われ、利用者のパスワードを盗める恐れがあると報告しています。今回のCVE-2026-34126も、設定フェーズの通信が暗号化されていないという、根っこの似た問題です。

背景には、スマート家電に共通する事情があります。電球やコンセント、小さなチャイムといった機器は、価格を安く保つために処理能力やメモリがぎりぎりに抑えられています。さらに、まだWi-Fiにつながっていない「箱出し直後」の状態で安全に鍵を交換し、暗号化された通信を確立するのは、見た目以上に難しい工程です。設定のひと手間を簡単にしようとするほど、最初のつなぎ込みの通信が手薄になりやすい、という構造的な弱点があります。

家庭にスマート家電が増えるほど、こうした「最初の数分」の積み重ねが家全体の安全に効いてきます。電球やドアベル1台が乗っ取られること自体より、そこから自宅Wi-Fiという共通の回線に手がかりを与えてしまうことのほうが、長い目で見れば重い問題になりえます。だからこそ、メーカーが脆弱性を認めて修正ファームを出したときに、利用者側がきちんと更新で受け取ることが、地味でも効く対策になります。

いま何をすればいいのか

対象機器を持っている人がやるべきことは、基本的にファームウェアの更新ひとつです。手順は次のとおりです。

• スマホで「Tapo」アプリを開き、対象の機器（L535E／P300／D100C、またはD100Cを含むドアベル・スマートロックのキット）を選ぶ
• 機器の設定画面からファームウェアのバージョンを確認し、上の表の番号より古ければ更新する
• アプリが自動更新を案内する場合はそれに従う。手動の場合はTP-Linkのダウンロードページから対象機種の最新ファームを確認する
• アプリ自体も最新版にしておくと、更新の案内や設定手順が新しい状態で受け取れる

すでに設定を済ませて使っている機器について、わざわざ設定をやり直す必要は基本的にありません。問題が起きるのは「初期設定の最中」だけで、設定が終わった後の通常利用はWi-Fi経由のため今回の対象外だからです。ただし、ファーム自体は更新しておくことを勧めます。万一の初期化や買い替え、引っ越しに伴う再設定のときに、平文のまま設定し直してしまうのを避けられるからです。

これから新しくTapo機器を設定する場合、できるだけ人の少ない自宅内で、隣室や通路に近い窓際を避けて設定するだけでも、近くで電波を拾われるリスクはかなり下げられます。修正版ファームが入っていれば設定時の通信も保護されますが、念のための置き場所として覚えておくとよいでしょう。TP-Linkの公式アドバイザリ（FAQ 5106）に、対象機種と修正版の一覧がまとまっています。

相次ぐTP-Link製品の脆弱性とあわせて見ておきたい

TP-Linkは家庭向けのWi-Fiルーターやスマート家電で大きなシェアを持つ一方、ここ数か月は脆弱性の公表が続いています。Wi-FiルーターではArcherシリーズに任意のコマンドを実行されうる脆弱性（CVE-2026-5509）が見つかり、最新ファームへの更新が呼びかけられました。製品単体の問題だけでなく、米国が外国製ルーターの規制に動いたこともあわせて、TP-Link製品を多く使う日本の家庭にとっては気になる流れが続いています。

同じく家庭で広く使われる国内メーカーのルーターでも、NEC Atermの複数機種で脆弱性が公表されるなど、身近なネットワーク機器の更新が必要になる場面が増えています。今回のTapoの件も含め、「家にある機器のファームを定期的に最新にする」という習慣が、いちばん効く守りになります。

よくある質問

まとめ

CVE-2026-34126は、Tapoのスマート電球（L535E）・スマート電源タップ（P300）・室内チャイム（D100C）で、初期設定時のBluetooth通信が暗号化されず平文で流れていた問題です。悪用には「近くにいて」「設定の瞬間を狙う」という条件が要るため、ネット越しの一斉攻撃にはなりません。一方で認証なしに情報が漏れる構造であり、深刻度は10点満点で7.3の「重要」と評価されています。

TP-Linkは対象3製品の修正版ファームウェアをすでに公開しています。対象機器を持っている人は、Tapoアプリからファームのバージョンを確認し、表に示した番号以降へ更新しておけば、今回の問題は塞げます。普段使いの機器をいきなり危険にさらすものではありませんが、これから設定する機器や、初期化・買い替え時の再設定に備えて、いま更新しておくのが確実です。

参照元

• ▸ JVN#70631953 - 複数のTP-LINK製品における重要情報の平文送信の脆弱性（2026年6月4日）
• ▸ NVD - CVE-2026-34126
• ▸ TP-Link 公式セキュリティアドバイザリ（FAQ 5106）
• ▸ CWE-319: Cleartext Transmission of Sensitive Information
• ▸ TP-Link Japan - Tapo 製品ページ
• ▸ Security Affairs - TP-Link Tapo L530E smart bulb flaws（2023年・参考事例）