業務用スイッチZyxel GS1900に乗っ取りの脆弱性 CVE-2026-7273、即更新を
オフィスや店舗で広く使われるZyxel製ネットワーク機器「GS1900」シリーズ10機種に、同じ社内ネットワークにつながった相手がパスワードなしで機器を乗っ取れる脆弱性CVE-2026-7273が見つかりました。攻撃を受けると通信の盗み見や遮断が可能になります。対象機種と修正版、いますぐやるべき更新手順を解説します。
堀川 慎
Backend Engineer / AWS / Django / Go
オフィスや店舗で広く使われるZyxel製ネットワーク機器「GS1900」シリーズ10機種に、同じ社内ネットワークにつながった相手がパスワードなしで機器を乗っ取れる脆弱性CVE-2026-7273が見つかりました。攻撃を受けると通信の盗み見や遮断が可能になります。対象機種と修正版、いますぐやるべき更新手順を解説します。
オフィスや店舗、学校などでパソコンやプリンター、防犯カメラをまとめてつなぐ業務用のネットワーク機器(スイッチ)Zyxel「GS1900」シリーズに、深刻な脆弱性が見つかりました。番号はCVE-2026-7273です。同じ社内ネットワークにつながった相手なら、ログイン用のパスワードを一切持っていなくても、細工した通信を1回送りつけるだけでこの機器を乗っ取れてしまう恐れがあります。
Zyxelは2026年6月16日にセキュリティ情報を公開し、対象となる10機種すべてに修正版のファームウェア(機器を動かす基本ソフト)を用意しました。危険度は10段階で8.8と高めに評価されています。乗っ取られると社内の通信を盗み見られたり、通信そのものを止められたりする可能性があるため、対象機種を使っている場合は早めの更新をおすすめします。
✓ 現時点で確認できている事実
- ✓対象はZyxelの業務用スイッチGS1900シリーズの10機種(GS1900-8からGS1900-48HPv2まで/Zyxel公式)
- ✓種別は、機器内部のデータの入れ物からあふれさせて誤作動を起こす不備(CWE-121、スタックベースのバッファオーバーフロー)。機器の操作画面を処理するプログラムに存在する
- ✓悪用にログインは不要。ただし同じLAN(社内ネットワーク)内からの攻撃に限られ、インターネット越しに誰でも、というタイプではない。危険度は10段階で8.8(NVD)
- ✓各機種の修正版ファームウェアが公開済み。現時点で実際の攻撃に悪用されたという公式報告は確認されていない
Zyxel GS1900とはどんな機器か
スイッチとは、複数のパソコンやプリンター、IP電話、防犯カメラ、無線アクセスポイントなどをLANケーブルでつなぎ、機器どうしの通信を交通整理する装置です。家庭用のルーターよりも多くの口(ポート)を持ち、中小企業のオフィスや店舗、学校、クリニックなどで「社内ネットワークの土台」として広く使われています。Zyxelは台湾に本社を置くネットワーク機器メーカーで、GS1900シリーズは、専門の管理者がいなくても扱いやすい「スマートスイッチ」として人気の製品群です。
GS1900には、ブラウザから設定できるWeb管理画面が備わっています。今回の脆弱性は、まさにこのWeb管理画面を動かすプログラム(CGI)にあります。問題は、攻撃にログインが不要な点です。本来は管理者しか触れないはずの画面の処理に、ログイン前の段階で送られた通信を起点に踏み込めてしまうため、同じネットワークにいる相手であれば、IDもパスワードも知らないまま機器の内部に手を伸ばせることになります。なお、影響を受けるのは下の表に挙げた10機種に限られ、それ以外のZyxel製品は今回の対象外だとZyxelは説明しています。
同じLANにいる「誰か」が、鍵を持たずにスイッチの主になる
「スイッチが乗っ取られる」と言われても、サーバーやパソコンが奪われる話に比べると遠い出来事に感じるかもしれません。けれどもスイッチは、社内を流れるすべての通信が必ず通過する場所です。ここを押さえられるとは、つまり社内の通信そのものに手をかけられるということで、今回の穴はそれをパスワードなしで成立させてしまいます。
この穴を狙いに来るのは、遠い国の凄腕ハッカーだけではありません。受付の空きポートや会議室のLANにこっそりつないだ来訪者や出入り業者、フィッシングで社員のパソコンを乗っ取り、その端末を踏み台に社内へ入り込んだ攻撃者、貸与端末がマルウェアに感染して遠隔操作されている状態、そして処遇に不満を抱えて退職間際の従業員です。彼らが欲しいのは「スイッチ」という箱そのものではなく、そこを通り抜ける中身です。社内でやり取りされるメールや見積書、業務システムにログインするためのIDとパスワード、来客用と社内用が混ざった通信の境目、そして他の機器へ侵入するための足場です。CVE-2026-7273を突かれた瞬間、このスイッチは攻撃者の操作下に置かれ、そこを流れる通信は丸ごと相手の手のひらの上に乗ってしまいます。
技術的に見ると、攻撃者はまず社内ネットワークのどこかに足場を作る「事前偵察」から入ります。今回の脆弱性はインターネット越しには届かず、同じLANにいることが前提(隣接ネットワークからの攻撃)だからです。とはいえ、その前提は思うほど高い壁ではありません。社員1人がフィッシングメールの添付ファイルを開けば、その瞬間に攻撃者は社内LANの内側に立っています。そこから細工した通信をスイッチに1回送るだけで、本来は管理者しか実行できない命令を機器に実行させ(OSコマンドの実行)、機器の制御を握れます。一度スイッチを支配下に置けば、通信を別の機器へこっそり横流しして盗み見たり、特定の端末を通信から締め出したり、社内の他の機器を次々に攻める拠点として使ったりできます。
危険度8.8という数字は、技術的な深刻さを示す指標にすぎません。小さな会社や店舗が実際に失うのは、止まれば営業できないレジや受発注の通信、顧客や取引先とやり取りした情報、そして「社内ネットワークの土台を他人に握られていた」という、復旧後も拭いきれない不安です。専任のIT担当を置けない現場ほど、土台にあたるスイッチが静かに乗っ取られていることに気づきにくく、被害は長引きます。
CVE-2026-7273:操作画面のプログラムからあふれさせて命令を実行する
CVE-2026-7273は、ZyxelのアドバイザリとNVDの登録情報によると、GS1900シリーズのWeb管理画面を処理するプログラム(CGI)に存在するスタックベースのバッファオーバーフロー(CWE-121)です。これは、プログラムが用意したデータの一時置き場(バッファ)に、想定より大きなデータを流し込んであふれさせ、隣のメモリ領域を上書きして誤作動を引き起こす古典的な不備です。あふれさせた部分に攻撃者が仕込んだ命令を紛れ込ませると、機器に任意の命令(OSコマンド)を実行させられます。
技術的な評価軸(CVSSベクター)は AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H で、スコアは8.8です。要点は「同じLAN内(隣接ネットワーク、AV:A)から、簡単な条件で(AC:L)、ログインなし(PR:N)でも、利用者の操作を介さず(UI:N)、情報の盗み見(C:H)・改ざん(I:H)・機器の停止(A:H)のすべてを起こせる」という意味です。注意したいのは先頭の AV:A で、これは攻撃にインターネット越しの到達ではなく、同じLANにいることを要求するという条件です。逆に言えば、社内に足場さえ作られれば、あとはログイン情報が一切なくても成立してしまいます。
対象の10機種と修正版ファームウェア一覧
影響を受けるのは以下の10機種です。機器のWeb管理画面でファームウェアのバージョンを確認し、下記の修正版以降へ更新してください。型番は機器本体の側面や底面のラベルでも確認できます。
| 機種(型番) | 影響を受ける版 | 修正版(即適用) |
|---|---|---|
| GS1900-8 | 2.90(AAHH.1)C0 以前 | 2.90(AAHH.2)C0 |
| GS1900-8HP | 2.90(AAHI.1)C0 以前 | 2.90(AAHI.2)C0 |
| GS1900-10HP | 2.90(AAZI.1)C0 以前 | 2.90(AAZI.2)C0 |
| GS1900-16 | 2.90(AAHJ.1)C0 以前 | 2.90(AAHJ.2)C0 |
| GS1900-24 | 2.90(AAHL.1)C0 以前 | 2.90(AAHL.2)C0 |
| GS1900-24E | 2.90(AAHK.1)C0 以前 | 2.90(AAHK.2)C0 |
| GS1900-24EP | 2.90(ABTO.1)C0 以前 | 2.90(ABTO.2)C0 |
| GS1900-24HPv2 | 2.90(ABTP.1)C0 以前 | 2.90(ABTP.2)C0 |
| GS1900-48 | 2.90(AAHN.1)C0 以前 | 2.90(AAHN.2)C0 |
| GS1900-48HPv2 | 2.90(ABTQ.1)C0 以前 | 2.90(ABTQ.2)C0 |
なお、NVDの登録情報では型番として「GS1900-48HPv2」が代表例として挙げられていますが、Zyxelの公式アドバイザリでは上記10機種すべてが対象として明記されています。自分の機種が一覧にあるかどうかを、型番とバージョンの両方で必ず確認してください。
いますぐやるべきこと
最優先は修正版ファームウェアへの更新です。Zyxelのダウンロードページから自分の機種に対応する版を入手し、Web管理画面から適用します。今回の脆弱性は同じLAN内からの攻撃が前提なので、更新がすぐに難しい場合の応急処置として、スイッチのWeb管理画面にアクセスできる範囲を、信頼できる管理者の端末だけに絞ることが有効です。具体的には、管理用のネットワーク(VLAN)を業務用や来客用と分け、見知らぬ機器が管理画面に到達できないようにします。
あわせて、来客や業者が自由に挿せる空きLANポートをふさぐ、無線LANの社内用と来客用を分離する、退職者や委託先のアクセス権を棚卸しするといった、社内に足場を作らせない基本対策も見直しておきたいところです。これらは今回の脆弱性に限らず、社内ネットワーク全体の守りを底上げします。
攻撃に悪用されている脆弱性の最新状況は、本サイトのCISA KEV日本語ダッシュボードでまとめて確認できます。CVE-2026-7273は現時点でKEV(米政府CISAが公開する、実際に攻撃されている脆弱性のリスト)には登録されていませんが、ネットワーク機器の脆弱性は公開後に悪用が始まる例も多いため、登録を待たずに対応しておくのが安全です。
土台のネットワーク機器が狙われ続けている
スイッチやルーター、VPNといった「社内ネットワークの土台」を狙う脆弱性は相次いでいます。本サイトでは、企業の通信網を一元管理するCisco Catalyst SD-WAN Managerの悪用中の脆弱性(CVE-2026-20262)、社員スマホの管理基盤がパスワードなしで陥落したIvanti Sentry(CVE-2026-10520ほか)、通信のなりすましにつながるNettyの脆弱性(CVE-2026-45674ほか)を取り上げてきました。
こうした土台の機器は、ふだん意識されないぶん更新が後回しにされがちです。しかし攻撃者から見れば、そこを一台押さえるだけで配下の通信すべてに手が届く、効率の良い標的です。とくに専任のIT担当を置けない中小規模の現場では、スイッチのファームウェアを何年も更新していないケースが珍しくありません。今回のCVE-2026-7273を機に、社内にある業務用ネットワーク機器の型番とバージョンを一度棚卸ししておくことをおすすめします。