2月2日~8日に公表された最新のサイバーセキュリティ情報には以下のようなものがある。エレコム製無線LANルーターやTP-Link製IPカメラ、OpenSSLなど幅広い製品で深刻な脆弱性が判明した。CISAは実際に悪用が確認された脆弱性を複数追加しており、未対策の製品は侵害リスクが高い。対象製品の利用者は影響有無を確認し、アップデートや利用停止を含む迅速な対応が求められる。

連載のこれまでの回はこちらを参照

2月2日~8日の最新サイバーセキュリティ情報

本稿では2月2日~8日に公表された最新のサイバーセキュリティ情報を整理し、注意すべき脆弱性と対策を取り上げる。家庭用から業務用まで幅広い製品が対象となっている。

それでは、今週注目すべきサイバー攻撃動向を詳しく見ていこう。

エレコム製無線LANルーターに複数の脆弱性、対象製品は早急な更新を

エレコムは2月3日、無線LANルーターなど一部のネットワーク製品において新たな脆弱性が判明したと発表した。製品型番により影響内容や対処方法が異なるため、利用中の製品が対象かを確認し、安全なネットワーク環境を維持するために速やかな対応を求めている(参考「無線LANルーターなど一部のネットワーク製品のセキュリティ向上のためのファームウェアアップデート・対策実施のお願い | エレコム株式会社 ELECOM」)。

  • 無線LANルーターなど一部のネットワーク製品のセキュリティ向上のためのファームウェアアップデート・対策実施のお願い|エレコム株式会社 ELECOM

    無線LANルーターなど一部のネットワーク製品のセキュリティ向上のためのファームウェアアップデート・対策実施のお願い | エレコム株式会社 ELECOM

対策済みファームウェアへのアップデートが必要な製品では、クロスサイトリクエストフォージェリにより意図しない操作が行われる可能性、第三者によるログイン後に任意のコマンドが実行される可能性、ならびにバッファーオーバーフローに起因して任意のコードが実行される可能性が確認された。これらは、対策済みのファームウェアへ更新することで回避できる。

対象となる主な製品は、WRC-X1500GS-BおよびWRC-X1500GSA-BがVer.1.13よりも前のバージョン、WAB-S733IW2-PD、WAB-S733IW-AC、WAB-S300IW2-PD、WAB-S300IW-ACがVer.5.5.02よりも前のバージョン。前者は工場出荷時設定で自動更新されるが、後者は自動更新に対応していないため手動での更新が必要となる。

  • WRC-X1500GS-B Ver.1.13よりも前のバージョン(自動更新可能)
  • WRC-X1500GSA-B Ver.1.13よりも前のバージョン(自動更新可能)
  • WAB-S733IW2-PD Ver.5.5.02よりも前のバージョン(手動更新が必要)
  • WAB-S733IW-AC Ver.5.5.02よりも前のバージョン(手動更新が必要)
  • WAB-S300IW2-PD Ver.5.5.02よりも前のバージョン(手動更新が必要)
  • WAB-S300IW-AC Ver.5.5.02よりも前のバージョン(手動更新が必要)

管理画面およびWi-Fiの工場出荷時パスワードが推測される恐れがある脆弱性も確認された。対象製品で初期パスワードを使用している場合、悪用される可能性があるため、推測が難しい堅牢なパスワードへ変更する必要がある。該当するのはWRC-X1500GS-BおよびWRC-X1500GSA-B。

アップデートサービスがすでに終了している一部製品については、新たに判明した脆弱性に対応できないため、継続利用は推奨されていない。WAB-S733IW-PDおよびWAB-S300IW-PDは使用を中止し、代替製品への切り替えを検討することが望ましい(参考「一部ネットワーク製品における脆弱性への対応および代替製品への切り替えのお願い | エレコム株式会社 ELECOM」)。

  • 一部ネットワーク製品における脆弱性への対応および代替製品への切り替えのお願い|エレコム株式会社 ELECOM

    一部ネットワーク製品における脆弱性への対応および代替製品への切り替えのお願い | エレコム株式会社 ELECOM

  • WAB-S733IW-PD
  • WAB-S300IW-PD

エレコムは今後も脆弱性を確認次第速やかに公表し対策を行うとしており、今回の件について利用者への謝意と理解、協力を求めている。

TP-Link VIGIシリーズ多数に影響、アップデートを推奨

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は2月5日(米国時間)、TP-Link SystemsのIPカメラ「VIGIシリーズ」にセキュリティ脆弱性が存在すると伝えた。権限を持っていないユーザーが影響を受けるIPカメラにおいて管理者アクセス権を取得できるとしている(参考「TP-Link Systems Inc. VIGI Series IP Camera | CISA」)。

  • TP-Link Systems Inc. VIGI Series IP Camera|CISA

    TP-Link Systems Inc. VIGI Series IP Camera | CISA

影響を受ける製品およびバージョンは次のとおり。

  • VIGI Cx45 Series Models C345、C445 3.1.0_Build_250820_Rel.57668nおよびこれよりも前のバージョン
  • VIGI Cx55 Series Models C355、C455 3.1.0_Build_250820_Rel.58873nおよびこれよりも前のバージョン
  • VIGI Cx85 Series Models C385、C485 3.0.2_Build_250630_Rel.71279nおよびこれよりも前のバージョン
  • VIGI C340S Series 3.1.0_Build_250625_Rel.65381nおよびこれよりも前のバージョン
  • VIGI C540S Series Models C540S、EasyCam C540S 3.1.0_Build_250625_Rel.66601nおよびこれよりも前のバージョン
  • VIGI C540V Series 2.1.0_Build_250702_Rel.54300nおよびこれよりも前のバージョン
  • VIGI C250 Series 2.1.0_Build_250702_Rel.54301nおよびこれよりも前のバージョン
  • VIGI Cx50 Series Models C350、C450 2.1.0_Build_250702_Rel.54294nおよびこれよりも前のバージョン
  • VIGI Cx20I (1.0) Series Models C220I 1.0、C320I 1.0、C420I 1.0 2.1.0_Build_251014_Rel.58331nおよびこれよりも前のバージョン
  • VIGI Cx20I (1.20) Series Models C220I 1.20、C320I 1.20、C420I 1.20 2.1.0_Build_250701_Rel.44071nおよびこれよりも前のバージョン
  • VIGI Cx30I (1.0) Series Models C230I 1.0、C330I 1.0、C430I 1.0 2.1.0_Build_250701_Rel.45506nおよびこれよりも前のバージョン
  • VIGI Cx30I (1.20) Series Models C230I 1.20、C330I 1.20、C430I 1.20 2.1.0_Build_250701_Rel.44555nおよびこれよりも前のバージョン
  • VIGI Cx30 (1.0) Series Models C230 1.0、C330 1.0、C430 1.0 2.1.0_Build_250701_Rel.46796nおよびこれよりも前のバージョン
  • VIGI Cx30 (1.20) Series Models C230 1.20、C330 1.20、C430 1.20 2.1.0_Build_250701_Rel.46796nおよびこれよりも前のバージョン
  • VIGI Cx40I (1.0) Series Models C240I 1.0、C340I 1.0、C440I 1.0 2.1.0_Build_250701_Rel.46003nおよびこれよりも前のバージョン
  • VIGI Cx40I (1.20) Series Models C240I 1.20、C340I 1.20、C440I 1.20 2.1.0_Build_250701_Rel.45041nおよびこれよりも前のバージョン
  • VIGI C230I Mini Series 2.1.0_Build_250701_Rel.47570nおよびこれよりも前のバージョン
  • VIGI C240 1.0 Series 2.1.0_Build_250701_Rel.48425nおよびこれよりも前のバージョン
  • VIGI C340 2.0 Series 2.1.0_Build_250701_Rel.49304nおよびこれよりも前のバージョン
  • VIGI C440 2.0 Series 2.1.0_Build_250701_Rel.49778nおよびこれよりも前のバージョン
  • VIGI C540 2.0 Series 2.1.0_Build_250701_Rel.50397nおよびこれよりも前のバージョン
  • VIGI C540-4G Series 2.2.0_Build_250826_Rel.56808nおよびこれよりも前のバージョン
  • VIGI Cx40-W Series Models C340-W 2.0/2.20、C440-W 2.0、C540-W 2.0 2.1.1_Build_250717およびこれよりも前のバージョン
  • VIGI Cx20 Series Models C320、C420 2.1.0_Build_250701_Rel.39597nおよびこれよりも前のバージョン
  • VIGI InSight Sx45 Series Models S245、S345、S445 3.1.0_Build_250820_Rel.57668nおよびこれよりも前のバージョン
  • VIGI InSight Sx55 Series Models S355、S455 3.1.0_Build_250820_Rel.58873nおよびこれよりも前のバージョン
  • VIGI InSight Sx85 Series Models S285、S385 3.0.2_Build_250630_Rel.71279nおよびこれよりも前のバージョン
  • VIGI InSight Sx45ZI Series Models S245ZI、S345ZI、S445ZI 1.2.0_Build_250820_Rel.60930nおよびこれよりも前のバージョン
  • VIGI InSight Sx85PI Series Models S385PI、S485PI 1.2.0_Build_250827_Rel.66817nおよびこれよりも前のバージョン
  • VIGI InSight S655I Series 1.1.1_Build_250625_Rel.64224nおよびこれよりも前のバージョン
  • VIGI InSight S345-4G Series 2.1.0_Build_250725_Rel.36867nおよびこれよりも前のバージョン
  • VIGI InSight Sx25 Series Models S225、S325、S425 1.1.0_Build_250630_Rel.39597nおよびこれよりも前のバージョン

共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)v3の評価値は8.8で深刻度は「重要」と分析されている。

TP-Link Systemsはすでにセキュリティ脆弱性を修正したアップデートを提供している。該当する製品を使用している場合、迅速にアップデートを行うことが望まれる(参考「Security Advisory on Authentication Bypass in Password Recovery Feature via Local Web App on VIGI Camerasおよびこれよりも前のバージョン | TP-Link」)。

  • Security Advisory on Authentication Bypass in Password Recovery Feature via Local Web App on VIGI Camerasおよびこれよりも前のバージョン|TP-Link

    Security Advisory on Authentication Bypass in Password Recovery Feature via Local Web App on VIGI Camerasおよびこれよりも前のバージョン | TP-Link

OpenSSLに複数のセキュリティ脆弱性、JPCERT/CCが注意喚起

JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は2月3日、OpenSSLに複数のセキュリティ脆弱性が存在すると発表した。もっとも深刻度が高いセキュリティ脆弱性は「高(High)」と分析されており注意が必要だ(参考「JVNVU#91919266: OpenSSLにおける複数の脆弱性(OpenSSL Security Advisory [27th January 2026])」)。

  • JVNVU#91919266: OpenSSLにおける複数の脆弱性(OpenSSL Security Advisory [27th January 2026])

    JVNVU#91919266: OpenSSLにおける複数の脆弱性(OpenSSL Security Advisory [27th January 2026])

セキュリティ脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • OpenSSL 1.0.2znより前の1.0.2系バージョン
  • OpenSSL 1.1.1zeより前の1.1.1系バージョン
  • OpenSSL 3.0.19より前の3.0系バージョン
  • OpenSSL 3.3.6より前の3.3系バージョン
  • OpenSSL 3.4.4より前の3.4系バージョン
  • OpenSSL 3.5.5より前の3.5系バージョン
  • OpenSSL 3.6.1より前の3.6系バージョン

JPCERTコーディネーションセンターは開発者が提供する情報をもとに、最新版へアップデートすることを推奨している(参考「OpenSSL Security Advisory [27th January 2026]」)。

FreePBXやGitLabなどに影響、CISAが悪用確認済み脆弱性6件を公表

CISAは、2月2日~8日にカタログに6つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Sangoma FreePBX 115.0.16.26およびこれより前のバージョン
  • Sangoma FreePBX 14.0.13.11およびこれより前のバージョン
  • Sangoma FreePBX 13.0.197.13およびこれより前のバージョン
  • GitLab 10.5から14.3.6よりも前のバージョン
  • GitLab 14.4から14.4.4よりも前のバージョン
  • GitLab 14.5から14.5.2よりも前のバージョン
  • SolarWinds Web Help Desk 12.8.8 HF1およびこれより前のバージョン
  • FreePBX security-reporting 17.0.2.36から17.0.3よりも前のバージョン
  • Metro Development Server 4.8.0から20.0.0よりも前のバージョン
  • SmarterTools SmarterMail 0から100.0.9511よりも前のバージョン

CISAは2月2日~8日に、実際に悪用が確認された6件の脆弱性を新たにKnown Exploited Vulnerabilities Catalogへ追加した。これらはFreePBX、GitLab、SolarWinds Web Help Desk、SmarterMailなど、業務で広く利用される製品を含んでおり、未対策のままでは侵害リスクが高い。対象となる製品やバージョンを使用している組織は、影響有無を確認し、パッチ適用や緩和策の実施など、優先度を高くした対応を取る必要がある。

* * *

今週はネットワーク機器や業務システム、暗号ライブラリーなど広範な分野で深刻な脆弱性が公表された。中にはすでに攻撃に悪用されているものも含まれており、放置は大きなリスクとなる。

日常的に利用する製品であっても、定期的な情報確認とアップデートの実施が不可欠だ。組織や個人は本記事の内容を踏まえ、早急なセキュリティ対策の実行を強く意識しよう。

参考