OSコマンドインジェクション、認証欠如、パストラバーサル——5件のCVEが一挙公開。 NECは2026年3月26日、家庭用・SOHO向けルーター Aterm シリーズ21機種に影響する複数の脆弱性に関するセキュリティアドバイザリを公開した。12機種にはファームウェアアップデートが提供されるが、残り9機種はサポート終了(EOL)のため買い替えが唯一の対策となる。
5件のCVEの概要——何がどう危険なのか
今回公開された脆弱性は5件。いずれもLAN側からのアクセスが前提であり、インターネット(WAN側)から直接悪用されるものではない。ただし、LAN内に侵入済みの攻撃者やマルウェアに感染した端末がある場合、ルーターの完全な乗っ取りにつながるリスクがある。
横にスクロールして確認できます
| CVE番号 | 脆弱性の種類 | CVSS v3 | 影響 |
|---|---|---|---|
| CVE-2026-4620 | OSコマンドインジェクション | 7.1(High) | 管理画面経由で任意のOSコマンドを実行される |
| CVE-2026-4622 | OSコマンドインジェクション | 7.1(High) | 別の経路から任意のOSコマンドを実行される |
| CVE-2026-4309 | 認証チェックの欠如 | — | 認証なしで管理機能にアクセスされる |
| CVE-2026-4619 | パストラバーサル | — | ルーター内の任意のファイルを読み取られる |
| CVE-2026-4621 | 隠し機能の存在 | — | 意図しない管理機能が外部から利用される |
OSコマンドインジェクション(CVE-2026-4620 / CVE-2026-4622)
最も深刻な2件だ。CVSS 7.1は「High」に分類される。攻撃者がルーターの管理画面に特定のリクエストを送信すると、ルーターのOS上で任意のコマンドが実行される。これにより、DNS設定の改ざん、通信の傍受、バックドアの設置が可能になる。
認証チェックの欠如(CVE-2026-4309)
本来は管理者パスワードで保護されるべき機能に、認証なしでアクセスできてしまう脆弱性だ。管理画面のパスワードを強固に設定していても、この脆弱性を突かれれば意味がない。
パストラバーサル(CVE-2026-4619)
ディレクトリトラバーサルにより、ルーター内部の設定ファイルや認証情報を窃取される可能性がある。取得された情報は、さらなる攻撃の足がかりに使われる。
隠し機能の存在(CVE-2026-4621)
文書化されていない管理機能がルーターに存在し、外部から利用可能な状態になっている。いわゆるバックドア的な機能であり、正規の管理画面からは確認できない。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
影響を受ける21機種——ファームウェア対応状況一覧
ファームウェアアップデート提供対象(12機種)
これらの機種は、NECが提供する最新ファームウェアに更新することで脆弱性を解消できる。
横にスクロールして確認できます
| # | 機種名 | 対策 |
|---|---|---|
| 1 | Aterm WX11000T12 | ファームウェア更新 |
| 2 | Aterm WX7800T8 | ファームウェア更新 |
| 3 | Aterm WX5400HP | ファームウェア更新 |
| 4 | Aterm WX5400T6 | ファームウェア更新 |
| 5 | Aterm WX3600HP | ファームウェア更新 |
| 6 | Aterm WX3000HP2 | ファームウェア更新 |
| 7 | Aterm WX1500HP | ファームウェア更新 |
| 8 | Aterm WG2600HP4 | ファームウェア更新 |
| 9 | Aterm WG2600HS2 | ファームウェア更新 |
| 10 | Aterm WG1900HP2 | ファームウェア更新 |
| 11 | Aterm WG1200HP4 | ファームウェア更新 |
| 12 | Aterm WG1200HS4 | ファームウェア更新 |
サポート終了(EOL)——買い替え推奨(9機種)
以下の機種はファームウェアの提供が終了しており、脆弱性を修正する手段がない。速やかな買い替えが必要だ。
横にスクロールして確認できます
| # | 機種名 | 状態 |
|---|---|---|
| 1 | Aterm WG2600HP3 | EOL:買い替え推奨 |
| 2 | Aterm WG2600HP2 | EOL:買い替え推奨 |
| 3 | Aterm WG2600HS | EOL:買い替え推奨 |
| 4 | Aterm WG2200HP | EOL:買い替え推奨 |
| 5 | Aterm WG1900HP | EOL:買い替え推奨 |
| 6 | Aterm WG1200HP3 | EOL:買い替え推奨 |
| 7 | Aterm WG1200HS3 | EOL:買い替え推奨 |
| 8 | Aterm WG800HP | EOL:買い替え推奨 |
| 9 | Aterm WF1200HP2 | EOL:買い替え推奨 |
「LAN側からのみ」は安全か?——過信してはいけない理由
NECのアドバイザリでは、今回の脆弱性はLAN側からのアクセスが前提とされている。「WAN(インターネット)からは悪用できないなら、急がなくてもいいのでは」と考える企業担当者もいるだろう。しかし、それは危険な誤解だ。
LAN内からの攻撃が成立する3つのシナリオ
シナリオ1:マルウェア感染端末からの横展開 社内PCが1台でもマルウェアに感染すれば、そのPCはLAN内のルーターに対して攻撃を実行できる。ルーターが乗っ取られれば、DNS改ざんにより全端末の通信がフィッシングサイトに誘導される。
シナリオ2:フリーWi-Fi・来客用ネットワーク経由 SOHO環境や小規模拠点で、来客やパートナー企業にWi-Fiを共有している場合、ネットワークに接続した第三者がルーターの脆弱性を悪用できる。
シナリオ3:IoTデバイス経由の攻撃 ネットワークカメラやスマート家電など、セキュリティが脆弱なIoTデバイスが踏み台となり、LAN内のルーターに攻撃が到達するケースがある。
「うちの拠点で使っているルーター、該当機種かもしれない」と思ったら
ルーターの機種確認からネットワーク全体のセキュリティ診断まで、専門チームがサポートします。EOL機器の棚卸しと買い替え計画の策定もお任せください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
企業が今すぐ実施すべき対策チェックリスト
ステップ1:該当機種の棚卸し(所要時間:30分〜)
まず、自社・拠点・テレワーク環境で使用しているルーターが該当機種かどうかを確認する。
- 本社・事務所のルーター機種名を確認した
- 支社・営業所・倉庫など全拠点のルーターを棚卸しした
- テレワーク用に従業員に貸与しているルーターを確認した
- 従業員が自宅で使用している個人ルーター(BYOD環境)について注意喚起した
- ルーターの管理画面にログインし、現在のファームウェアバージョンを記録した
ステップ2:ファームウェア更新またはルーター交換
該当機種が見つかった場合、対応は以下の2パターンに分かれる。
パターンA:アップデート対象の12機種
- NECの製品サポートページから最新ファームウェアをダウンロード
- ルーターの管理画面からファームウェアを適用
- 適用後、ルーターを再起動し、バージョンが更新されたことを確認
- 管理画面のパスワードを変更(念のため)
パターンB:EOL対象の9機種
- 代替ルーターを調達する(現行モデルのAterm WXシリーズ、またはYAMAHA・Cisco等のビジネスルーターを推奨)
- 現行ルーターの設定をバックアップ
- 新しいルーターに設定を移行し、古いルーターをネットワークから切り離す
- 古いルーターは工場出荷状態にリセットしてから廃棄
ステップ3:ネットワーク設定の見直し
ファームウェア更新や機器交換だけでなく、以下の設定を併せて確認する。
- ルーターの管理画面がデフォルトパスワードのままになっていないか
- 管理画面へのアクセスを特定の端末のみに制限しているか
- UPnP機能が無効化されているか(不要なポート開放を防ぐため)
- ルーターのリモート管理機能(WAN側からの管理アクセス)が無効化されているか
- ゲストネットワークと業務ネットワークが分離されているか
企業ネットワークにおける影響——テレワーク環境が盲点
本社・拠点のリスク
企業のオフィスでAtermシリーズを使用しているケースは、特にSOHO・中小企業で多い。ビジネス向けルーター(YAMAHA RTXシリーズ、Cisco、FortiGate等)と比較して導入コストが低いため、小規模拠点や営業所に設置されていることがある。
IT部門の管理が行き届かないシャドーITとして、部署単位で独自に購入・設置されているケースも要注意だ。
テレワーク環境のリスク
2024年以降、テレワーク用のルーターとしてAtermシリーズを従業員に貸与、または従業員の自宅ルーターがAtermであるケースは珍しくない。VPN経由で社内ネットワークに接続している場合、自宅ルーターの侵害が社内ネットワークへの侵入経路になり得る。
テレワーク環境のルーターセキュリティは、多くの企業にとって管理の死角だ。今回の脆弱性を機に、テレワーク端末だけでなくネットワーク機器にもセキュリティポリシーを適用する体制を検討すべきだ。
EOL機器を放置するリスク——経営責任の観点
サポート終了(EOL)のネットワーク機器を使い続けることは、コスト削減ではなくリスクの先送りに過ぎない。
改正個人情報保護法との関係
2024年4月の改正個人情報保護法では、安全管理措置の強化が求められている。既知の脆弱性があるEOL機器を放置した状態で情報漏えいが発生した場合、安全管理措置の不備として行政処分や損害賠償請求の対象になるリスクがある。
サプライチェーンセキュリティへの影響
取引先や親会社からセキュリティ基準の遵守を求められている企業は多い。EOL機器の存在がセキュリティ監査で指摘され、取引条件に影響する可能性もある。
実際のコスト比較
横にスクロールして確認できます
| 項目 | EOL機器を放置 | ルーターを買い替え |
|---|---|---|
| 機器コスト | 0円 | 10,000〜30,000円 |
| インシデント発生時の対応コスト | 数百万〜数千万円 | — |
| 信用毀損・取引停止リスク | 高い | 低い |
| セキュリティ監査での評価 | 不合格リスク | 合格 |
ルーター1台の買い替えコストは1〜3万円。インシデント1件の対応コストと比較すれば、投資対効果は明白だ。
まとめ
横にスクロールして確認できます
| 項目 | ポイント |
|---|---|
| 脆弱性 | 5件のCVE(最大CVSS 7.1、OSコマンドインジェクション等) |
| 影響機種 | NEC Aterm 21機種 |
| 攻撃条件 | LAN側からのアクセスが必要(WAN側からは不可) |
| 対策(12機種) | ファームウェアを最新版に更新 |
| 対策(9機種) | サポート終了のため買い替え推奨 |
| 盲点 | テレワーク環境の自宅ルーター、シャドーIT |
今回の脆弱性は「LAN側からのみ」という制約があるため、緊急度は最高レベルではない。しかし、マルウェア感染端末からの横展開やIoTデバイス経由の攻撃を考慮すれば、対策を後回しにする理由にはならない。特にEOL対象の9機種については、この機会に確実に買い替えを実施してほしい。
ネットワーク機器のセキュリティ、棚卸しから始めませんか?
「拠点ごとにルーターがバラバラで全体像が把握できていない」「テレワーク環境のネットワーク機器まで管理が追いついていない」——そんな課題をお持ちの企業様に、ネットワークセキュリティの現状診断と改善計画をご提案しています。
※ まずは現状把握から | オンライン完結OK | 相談だけでもOK
実務判断のポイント
この記事は、経営者、CIO、情シス、セキュリティ担当、開発責任者向けです。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。NEC Atermルーター脆弱性|21機種に影響・5件のCVEと企業が取るべき対策【2026年3月】に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、診断、監査、保守契約、月次レポート、緊急対応支援へ接続。さらに、チェックリスト型診断を入口に、継続監視・改善支援へ展開。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問
Q. WAN側から攻撃されないなら、対策しなくても大丈夫ですか? A. いいえ。LAN内にマルウェア感染端末やIoTデバイスがある場合、それらを踏み台にルーターが攻撃されます。特にテレワーク環境では、家族の端末経由で攻撃が成立する可能性もあります。
Q. ファームウェアの更新方法がわかりません。 A. NECの製品サポートページに機種ごとの手順が掲載されています。一般的には、管理画面(通常 http://192.168.10.1 )にログインし、「ファームウェア更新」メニューから実行できます。不安な場合はIT担当者または外部の専門業者に依頼してください。
Q. EOL機種を使い続ける場合の暫定対策はありますか? A. 完全な対策はありませんが、以下の暫定措置で多少のリスク低減は可能です。(1) ルーターの管理画面パスワードを強固なものに変更する、(2) UPnPを無効化する、(3) 管理画面へのアクセスを特定MACアドレスに制限する。ただし、これらは脆弱性自体を解消するものではないため、買い替えを強く推奨します。
Q. 自社で該当機種を使っているか確認する方法は? A. ルーター本体の底面または側面にあるラベルに機種名が記載されています。また、管理画面にログインすると「装置情報」ページで機種名とファームウェアバージョンを確認できます。
Q. 企業用途にAtermシリーズは適切ですか? A. Atermシリーズは主にコンシューマー・SOHO向けの製品です。企業のセキュリティ要件を満たすには、YAMAHA RTXシリーズやCisco、FortiGateなどのビジネスルーターの導入を推奨します。VPN機能、VLAN対応、詳細なログ管理など、企業ネットワークに必要な機能が充実しています。
参考情報
- NEC製品セキュリティアドバイザリ:Atermシリーズ複数製品の脆弱性について(2026年3月26日)
- JVN(Japan Vulnerability Notes):該当するCVE情報
- JPCERT/CC:ネットワーク機器の脆弱性に関する注意喚起
- IPA(情報処理推進機構):「ネットワーク機器のセキュリティに関する注意喚起」






