1. エレコム製無線LANルーターに「緊急」レベルの脆弱性7件、何が起きたか
2026年5月12日、JVN(Japan Vulnerability Notes)から「JVN#03037325」として、エレコム製の無線LANルーターおよび業務用無線アクセスポイントに合計7件の脆弱性が公表されました。JPCERT/CCの週次レポート2026年5月20日号でも【11】として取り上げられ、中小企業のオフィスに導入されている機種が多数含まれていることから、業務リスクとしての注目度が一気に高まっています。
CVSS最大値は9.8(10点満点中、「緊急」レベル)。認証なしで任意のOSコマンドが実行できる脆弱性も含まれており、攻撃者がオフィスのルーターを乗っ取れば、社内ネットワークそのものが攻撃者の通り道に変わります。
主な脆弱性は次の7件です。
・CVE-2026-25107(深刻度: 緊急): 設定ファイルバックアップにハードコードされた暗号鍵が使われており、攻撃者が設定ファイルを偽造可能
・CVE-2026-35506(深刻度: 緊急): ping_ip_addrパラメータの処理不備による任意OSコマンド実行
・CVE-2026-40621(深刻度: 高): 特定URLで認証なしのまま操作を受け付ける欠陥
・CVE-2026-42062(深刻度: 緊急): usernameパラメータ経由でのOSコマンドインジェクション
・CVE-2026-42948(深刻度: 中): hostnameパラメータの不適切な処理による格納型クロスサイトスクリプティング
・CVE-2026-42950(深刻度: 中): languageパラメータの検証欠如
・CVE-2026-42961(深刻度: 中): CSRF対策の不備
影響を受ける機種は、家庭・小規模オフィス向けの「WRC-X3000GS2」「WRC-X1800GS」「WRC-BE72XSD」シリーズや、企業の会議室・店舗で広く採用されている業務用アクセスポイント「WAB-BE187-M」「WAB-BE72-M」「WAB-BE36-M」など、合計20機種前後にのぼります。発見・報告者にはGMOサイバーセキュリティ、防衛省、複数の国立大学が名を連ねており、報告体制から見ても重大度は高い扱いです。
出典: JPCERT/CC週次レポート 2026年5月20日号【11】、JVN#03037325、エレコム公式セキュリティ告知
2. 中小企業オフィスでの業務リスク:在宅勤務VPN・複合機・顧客情報漏洩
「無線LANルーターの脆弱性」と聞くと家庭用機器のイメージが先行しがちですが、今回の影響機種には業務用アクセスポイントが含まれています。中小企業のオフィスで実際に起こり得る被害は、次の3層に整理できます。
2-1. 第1層:社内ネットワークへの侵入起点
攻撃者がルーターを乗っ取ると、社内に置かれた業務PC・ファイルサーバー・NASに自由にアクセスできる「橋頭堡」が出来上がります。ランサムウェア攻撃の多くは、こうしたネットワーク機器の脆弱性を入口として侵入します。中小企業の場合、社内に専任の情報システム担当者がいないケースが多く、侵入から発覚まで数週間気づかれない事例も少なくありません。
2-2. 第2層:在宅勤務VPN・複合機の踏み台化
在宅勤務で利用するVPN接続は、ほぼ全ての通信がオフィスのルーターを経由します。ルーターの設定ファイルが偽造されれば、DNS書き換えによってAitM(Adversary in the Middle、中間者)攻撃が成立し、社員が入力した認証情報が攻撃者に丸見えになります。複合機(コピー機・FAX複合機)も、ネットワーク内に同居しているため、印刷データの抜き取りやスキャン情報の窃取の対象になります。
2-3. 第3層:顧客情報漏洩・取引先からの信頼失墜
顧客リスト・見積書・契約書PDFがNASや業務PCに保存されている場合、最終的にはこれらの情報資産が外部に流出するリスクに直結します。個人情報保護委員会への報告義務、取引先への謝罪、損害賠償、行政指導、報道による信用失墜と、被害は技術領域を大きく超えて経営課題に発展します。
「うちは小さい会社だから狙われない」という認識は2026年時点では完全に過去のものです。攻撃者は手当たり次第に脆弱なルーターを自動スキャンしており、規模に関係なく「穴が開いていれば入る」という発想で動いています。
3. 自社のルーターが該当するか確認する3ステップ
まず自社の機器が今回の対象に該当するかを、次の3ステップで確認します。
3-1. ステップ1:型番の確認
ルーター本体の底面・背面ラベルに「WRC-」または「WAB-」で始まる型番が記載されています。リース契約や購入時の納品書、保守契約書にも記載があります。型番が今回の影響リスト(WRC-X3000GS2/WRC-X1800GS/WRC-BE72XSD/WRC-BE65QSD/WRC-W702/WRC-X6000/WRC-XE5400/WAB-BE187-M/WAB-BE72-M/WAB-BE36-M 等)に含まれる場合は、対象機器です。
3-2. ステップ2:ファームウェアバージョンの確認
パソコンのWebブラウザで管理画面(多くの場合 192.168.2.1 もしくは 192.168.1.1)にアクセスし、ログイン後に「ステータス」「システム情報」などのメニューでファームウェアバージョンを確認します。エレコム公式の告知ページに「修正済みバージョン」が機種別に掲載されているため、自社の表示と照合します。
3-3. ステップ3:自動更新設定の確認
エレコム製ルーターは工場出荷時に自動更新が有効ですが、過去に設定を変更している場合は無効化されている可能性があります。「自動ファームウェア更新」または「ファームウェアアップデート」のメニューで現在の状態を確認します。
4. ファームウェア更新の具体手順と業務影響
ファームウェア更新は「業務時間外に5~15分」で完了する作業ですが、いくつか注意点があります。
4-1. 更新前の準備
・更新タイミング: 業務終了後、または昼休みなど通信トラフィックの少ない時間帯
・事前通知: 全社員に「○月○日 18:30から最大20分、社内のインターネット接続が一時停止します」とメールで告知
・VPN利用者の確認: 在宅勤務者がいる場合は、VPN切断のタイミングを共有
・設定バックアップ: 管理画面から現在の設定をエクスポートして手元保管
4-2. 更新作業の流れ
管理画面にログイン後、「ファームウェアアップデート」メニューを開き、「最新版を確認」または「自動更新」ボタンを押下します。新バージョンが提示されたら「更新を実行」を選択。更新中は本体ランプが点滅し、約5~10分で再起動が完了します。再起動後、再度管理画面でバージョン番号が更新済みになっていることを確認します。
4-3. 更新後の動作確認
業務PCがインターネットに接続できるか、社内ファイルサーバーにアクセスできるか、複合機が印刷できるかを5分以内に確認します。プリンタやNASがDHCPでIPアドレスを取得し直す関係で、まれに接続が回復しないケースがあります。その場合は対象機器を再起動すれば回復します。
5. 経営判断としての「機器選定基準」と「更新運用」
今回のような脆弱性公表は、エレコム製品に限らず全メーカーで定期的に発生します。中小企業が「都度対応」から脱却し、再発防止の運用体制を作るためのポイントを整理します。
5-1. メーカー別ファーム提供期間の比較
| メーカー | 家庭/SOHO向け | 業務用AP | 自動更新 | サポート終了告知 |
|---|---|---|---|---|
| エレコム | 発売後 約5年目安 | WABシリーズ提供中 | デフォルト有効 | 公式ニュースで個別告知 |
| バッファロー | 発売後 約5年目安 | 法人向けWAPRシリーズ | 機種により異なる | 公式サポートページ |
| NEC(Aterm) | 発売後 約5~7年 | 業務用UNIVERGE | 機種により異なる | 公式サポートページ |
| YAMAHA | 家庭向けなし | RTXルーター長期サポート | 手動更新が基本 | 10年以上サポート機種あり |
業務利用を本気で考えるなら、家庭向けルーターよりも「業務用アクセスポイント」または「業務用ルーター」を選定することがリスク低減につながります。特にYAMAHAのRTXシリーズは10年以上のサポート実績があり、長期運用前提の中小企業に向いています。
5-2. 「資産台帳」の整備
ルーター・スイッチ・複合機・サーバーといったネットワーク機器の型番・購入日・ファームバージョン・保守期限を1枚の表にまとめておくと、脆弱性公表の都度「うちは該当するか」を5分で判定できます。エクセル1ファイルで十分です。
5-3. 月次の更新確認ルーチン
月に1回、第1営業日の朝に「ルーター管理画面ログイン → ファーム最新版確認」をルーチン化します。所要時間は5分。これだけで、自動更新失敗時の見逃しを防げます。
PR(Amazonアソシエイト)
中堅・中小企業のための サイバーセキュリティ対策の新常識:経営者が知っておくべき最新知識(那須慎二 著/東洋経済新報社)
中堅・中小企業に特化したサイバーセキュリティ対策の実践書。「攻撃者はなぜ襲ってくるのか」「情報事故に遭わないために経営者が何をすべきか」を、専門用語を避けて整理しています。今回のような脆弱性公表時の判断基準作りにも役立ちます。
6. よくある質問(FAQ)
Q1. 業務時間中にファームウェア更新しても大丈夫ですか?
原則として業務時間外を推奨します。更新中は5~10分間インターネット接続が切れるため、Web会議中・受発注処理中・クラウドサービス利用中は業務が中断します。やむを得ず日中に行う場合は、昼休みの12:00~13:00の時間帯が最も影響が小さくなります。
Q2. 自社の機種が既にサポート終了でファーム提供がない場合は?
残念ながら脆弱性は放置されたままになります。エレコムは過去(2023年8月)にも、旧機種について「代替製品への切り替えのお願い」という告知を出しています。サポート終了機種は速やかな買い替えが現実解です。中古市場や流用は避け、新品を導入してください。
Q3. 自動更新が有効なら何もしなくていいですか?
基本的にはそうですが、自動更新が「失敗」しているケースも一定数あります。ファーム公開から1週間以内に、管理画面で「現在のバージョン」が新しいものに切り替わっているかを目視で確認することを推奨します。月1回の確認ルーチンを習慣化してください。
Q4. リース契約しているルーターの脆弱性対応責任はどちらにありますか?
契約書に明記されていないことが多いのが実情です。一般的にはリース会社が機器を所有していますが、運用上のファーム更新は利用企業側で行うのが通例です。事前にリース会社へ「ファーム更新責任の所在」を文書で確認しておきましょう。トラブル発生時の責任分界点が曖昧だと、対応が後手に回ります。
Q5. 管理画面パスワードを変更していれば安全ですか?
パスワード強化は基本ですが、今回の脆弱性のうちCVE-2026-40621(認証欠如)はパスワード入力すら不要で攻撃可能なため、ファーム更新が必須です。「パスワードを強くしたから大丈夫」という認識は危険です。
Q6. 在宅勤務社員のWi-Fiルーターも対応が必要ですか?
家庭用ルーターであっても、業務PCがそのネットワークで業務通信を行う以上、リスクは同じです。在宅勤務規程の中で「ルーターのファーム更新を年4回以上実施すること」を明文化し、簡単な手順書を配布するのが現実的な対応です。
Q7. 攻撃を受けたかどうか、どうすれば判別できますか?
判別は専門知識を要します。「管理画面のログにない時間帯のログイン履歴」「設定したDNSサーバーが見覚えのないIPに変わっている」「業務PCのDNS解決が時々失敗する」といった兆候があれば、専門業者への調査依頼を検討してください。中小企業の場合、IPAの「中小企業の情報セキュリティ相談窓口」を活用するのも有効です。
Q8. クラウドサービス利用中心でオフィスにサーバーがないから関係ないですか?
関係あります。クラウドサービスへの接続もルーターを経由します。攻撃者がルーター経由でDNSを書き換えれば、社員が入力したクラウドサービスのIDとパスワードが攻撃者のサーバーに送信される事態が起こり得ます。「サーバーを持っていないから安全」ではありません。
7. まとめ:脆弱性対応は「経営の定例タスク」へ
2026年5月のエレコム製無線LANルーター脆弱性は、影響機種が約20、CVE番号7件、CVSS最大9.8という、中小企業オフィスにとって看過できない規模の事案です。ファームウェア更新自体は技術的に難しい作業ではなく、所要時間も10分程度。問題は「気づくか・気づかないか」「運用ルールがあるか・ないか」の2点に集約されます。
経営者が今すぐやるべきチェックリスト 7項目
本記事を読み終わったら、次の7項目を1日以内に実施してください。所要時間は合計1時間以内です。
・1. ルーター型番の確認: 本体ラベルまたは納品書から型番を控える
・2. 影響リスト照合: JVN#03037325記載の対象機種一覧と照合
・3. ファームバージョン確認: 管理画面で現在のバージョンを確認
・4. ファーム更新の実施: 業務時間外に最新版へ更新
・5. 自動更新設定の確認: 今後の自動適用を有効化
・6. 資産台帳への記録: 機器・バージョン・更新日をエクセルに記録
・7. 月次確認の予定化: 第1営業日の朝5分を月次確認時間として確保
機種別の詳細手順や、自社の状況に応じた具体的な対応判断に不安がある場合は、社外の相談先を持っておくことが中小企業の経営リスク管理として有効です。
PR(Amazonアソシエイト)
中小企業のIT担当者必携 本気のセキュリティ対策ガイド(佐々木伸彦 著/技術評論社)
IT専任担当者がいない中小企業を想定し、ルーター・サーバー・PC・クラウド利用を含めたセキュリティ運用の基本を実践的に整理しています。「何から手をつけるか」が見えるようになる1冊です。
専任の情報システム担当者がいない中小企業ほど、こうした脆弱性対応は属人化しがちで、結果として手つかずになる傾向があります。逆に言えば、月1回5分の確認ルーチンと資産台帳1枚があるだけで、業界平均よりはるかに高い水準の運用が実現できます。
「業務PCの中で完結し、情報を外に出さない社内専用AI(ローカルLLM)」のような新しいAI活用を検討されている経営者の方は、その土台として社内ネットワークの基本的な健全性確保が前提になります。AIの導入前に、まずネットワーク機器の更新運用から始めることを強くおすすめします。
イーネットマーキュリーでは、中小企業の経営者と情報システム担当者向けに、社内専用AI導入の前段階として「現状のネットワーク・PC・ファイル管理の棚卸し」から伴走する相談窓口を用意しています。今回のような脆弱性対応の運用ルール作りも含めて、業務に即した形でご支援します。
参考:JPCERT/CC週次レポート 2026年5月20日号 / JVN#03037325 / エレコム公式セキュリティ告知 2026-05-12
