TP-Linkルーターに認証バイパスの重大脆弱性──米国では外国製ルーター禁止令も
TP-Linkの5Gルーターに、認証なしでファームウェアを書き換えられる脆弱性が見つかった。折しも米国では外国製ルーターの販売禁止が始まり、TP-Linkへの包囲網は一段と狭まっている。
TP-Linkの5Gルーターに、認証なしでファームウェアを書き換えられる脆弱性が見つかった。折しも米国では外国製ルーターの販売禁止が始まり、TP-Linkへの包囲網は一段と狭まっている。
認証なしでファームウェアを書き換えられる欠陥
TP-Linkの5G対応ルーター「Archer NX」シリーズに、4件の重大な脆弱性が存在することが明らかになっている。対象はArcher NX200、NX210、NX500、NX600の4モデルだ。
中でも深刻なのがCVE-2025-15517である。HTTPサーバーの特定のCGIエンドポイントに認証チェックが欠落しており、攻撃者は認証なしでファームウェアのアップロードや設定変更といった特権操作を実行できる。CVSSv4.0スコアは8.6(High)、CVSSv3.0では9.8(Critical)と評価されている。
ルーターのファームウェアを外部から書き換えられるということは、ネットワークの「門番」を丸ごと乗っ取れるということだ。正規のファームウェアを悪意あるものに差し替えれば、通信の傍受、DNSの改ざん、マルウェアの配布──何でもできる。
残る3件も深刻度が高い。CVE-2025-15605は設定ファイルの暗号化に使われる暗号鍵がハードコードされていた問題で、認証済みの攻撃者が設定ファイルを復号・改ざん・再暗号化できる。CVE-2025-15518とCVE-2025-15519はコマンドインジェクションの脆弱性で、管理者権限を持つ攻撃者がOS上で任意のコマンドを実行できる。いずれもCVSSv4.0スコア8.5だ。
脆弱性を発見したのはCyShield SecurityのSaifeldeen Aziz氏。TP-Linkは修正ファームウェアをすでに公開しており、対象機器のユーザーに即時アップデートを求めている。なお、これらの製品は米国では販売されていない。
テキサス州の訴訟とFCCの外国製ルーター禁止令
この脆弱性の公開は、偶然にしてはできすぎたタイミングで起きている。
3月23日(日本時間)、米国連邦通信委員会(FCC)は外国で製造されたすべての消費者向けルーターを「Covered List」に追加し、新規モデルの米国内での販売を事実上禁止した。FCC委員長のブレンダン・カーは、外国製ルーターが「米国の経済、重要インフラ、国防を脅かすサプライチェーンの脆弱性」をもたらすと述べている。
Today, the FCC took additional action to safeguard Americans and the communications networks we rely on.
— Brendan Carr (@BrendanCarrFCC) March 23, 2026
The FCC added consumer routers produced in foreign countries to the agency’s Covered List.
This action follows a national security determination provided by Executive Branch… pic.twitter.com/s3OoEo5NOV
この決定の背景にあるのは、中国系ハッキンググループ「Volt Typhoon」「Salt Typhoon」「Flax Typhoon」による一連のサイバー攻撃だ。いずれも外国製ルーターの脆弱性を踏み台にして米国のインフラを攻撃してきた。
TP-Linkへの逆風はFCCだけではない。2月にはテキサス州のケン・パクストン司法長官が、TP-Linkを消費者詐欺で提訴している。訴状によれば、TP-Linkはルーターを「ベトナム製」と表示しているが、実際にはベトナム工場は最終組立のみを行い、部品の大半は中国から輸入されている。さらに中国の国家情報法により、中国企業は政府の情報活動への協力義務を負っている。つまり、TP-Link製品は中国政府にとって潜在的なアクセスポイントになりうるという主張だ。
TP-Link側は訴訟を「根拠がない」として争う姿勢を示しているが、米国市場でのネットワーク機器シェアが約65%とされる同社にとって、この包囲網は事業の根幹を揺るがしかねない。
CISAが警告するTP-Linkの脆弱性とQuad7ボットネット
今回のArcher NXシリーズの脆弱性は、TP-Link製品のセキュリティ問題としては孤立した事案ではない。米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)は、これまでにTP-Linkの脆弱性を合計6件、「既知の悪用された脆弱性カタログ(KEV)」に登録している。最も古いものは2015年のディレクトリトラバーサル脆弱性だ。
特に注目すべきは、2025年9月にKEVに追加されたCVE-2023-50224とCVE-2025-9377だ。この2つの脆弱性は「Quad7」と呼ばれるボットネットに悪用されてきた。Quad7は中国系の脅威アクター「Storm-0940」が運用しているとされ、侵害したTP-Linkルーターを踏み台にしてMicrosoft 365アカウントへのパスワードスプレー攻撃を行っていた。
一般家庭や小規模オフィスのルーターが、国家レベルのサイバー攻撃の中継地点になっている。ルーターは一度設置すると存在を忘れられがちなデバイスだが、まさにその「忘れられやすさ」が攻撃者にとっての魅力なのだろう。
「安いから」で済む時代の終わり
TP-Linkは世界最大級のルーターメーカーであり、安価で機能も十分な製品を提供してきた。だが今、その安さの裏にあるコストが可視化されつつある。
米国のFCCが外国製ルーターを一律に禁止するという判断は、過剰反応だと見る向きもある。TechCrunchの報道によれば、FCCは米国製ルーターが外国製より安全だという証拠を示していない。実際、Salt Typhoonが悪用したルーターにはCisco製も含まれていた。「外国製」という括りで問題が解決するほど、サイバーセキュリティは単純ではない。
それでも、TP-Link製品に脆弱性が繰り返し見つかり、それが国家支援のハッカーに悪用されてきたという事実は動かない。同社がこの信頼の危機をどう乗り越えるかは、単にファームウェアを更新するだけでは済まないだろう。
対象機器を持っている人は、今すぐファームウェアを更新してほしい。そして、自宅のルーターが最後にアップデートされたのはいつだったか、一度確認してみることを勧める。あなたのルーターは、あなたが思っている以上に多くのことを「知っている」。
参照元
他参照
#TP-Link #ルーター #脆弱性 #FCC #サイバーセキュリティ #ネットワークセキュリティ #情報の灯台
