セイコーの企業向けIoTルーター「SkyBridge」に深刻な脆弱性、修正パッチは提供されず

2026年7月6日 12:14

印刷

記事提供元:Tech Times

(Seiko-sol.co.jp)

(Seiko-sol.co.jp)[写真拡大]

JPCERT/CCと情報処理推進機構(IPA)は2026年7月1日、セイコーソリューションズ製の企業向けIoTルーター「SkyBridge MB-A100」および「MB-A110」に、深刻なOSコマンド注入の脆弱性が存在することを公表した。メーカー側は対象製品のサポートが終了しているとして、修正ファームウェアを今後一切提供しない方針を明らかにしている。影響を受けるデバイスを運用している組織は、攻撃者に悪用される前に対策を講じる必要がある。

■脆弱性「CVE-2026-50043」の概要と影響

「CVE-2026-50043」(CWE-78:OSコマンド注入)として追跡されるこの脆弱性は、SkyBridge MB-A100およびMB-A110のWeb管理インターフェース(WebUI)に存在する。管理者権限でWebUIにログインした攻撃者が、特定の入力値を送信することで、デバイスのOS上で任意のコマンドを実行できる可能性がある。これにより、攻撃者はアプリケーションプロセスの権限でシステムを完全に制御できるようになる。

この脆弱性の深刻度は、CVSS v4のベーススコアで8.6、CVSS v3で7.2(いずれも「高(High)」レベル)と評価されている(JVN#20721579)。CVSSの評価では「高い権限が必要(High Privileges Required)」とされているため、認証不要の攻撃に比べれば技術的なハードルは高い。しかし、産業環境や遠隔地に導入された企業向けIoTデバイスでは、工場出荷時のデフォルトパスワードがそのまま使われていたり、同一組織内でパスワードが使い回されていたり、管理担当者を狙ったフィッシング詐欺によってアカウント情報が窃取されたりするケースが後を絶たないため、実質的なリスクは依然として高いと指摘されている。

■過去にも攻撃の標的に:繰り返される脆弱性指摘

今回の脆弱性は、両モデルのすべてのファームウェアバージョンに影響する。セイコーソリューションズは、SkyBridge MB-A100/MB-A110シリーズのサポートが終了していることを明言しており、本脆弱性に対するファームウェアのアップデートはリリースされない。

なお、このハードウェアでOSコマンド注入の脆弱性が発見されたのは今回が初めてではない。2022年8月には、同様にWeb管理インターフェースを介してOSコマンドを実行される脆弱性「CVE-2022-36556」が公表されている。JPCERT/CCの当時のアドバイザリによると、この脆弱性を悪用した攻撃が実際に観測されていたという。

さらに2023年3月には、認証回避やハードコードされた認証情報、不適切なアクセス制御など、同製品群において計14件の脆弱性(JVN#40604023)が公表されていた。今回の「CVE-2026-50043」は、こうした一連の脆弱性履歴に新たに加わったものであり、パッチが提供されない以上、該当デバイスを使い続ける組織は恒久的なリスクを抱えることになる。

■IoTルーターにおけるOSコマンド注入の脅威

SkyBridge MB-A100およびMB-A110は、遠隔センサーネットワークや無人インフラの監視など、産業用IoTおよびM2M(機器間通信)向けに設計された企業向けのLTE/3Gルーターである。これらのデバイスは、一度設置されると日常的な現地メンテナンスなしで稼働し続けることが多い。

このようなネットワークデバイスにおいてOSコマンド注入の脆弱性が悪用された場合、攻撃者は設定データの読み取り、保存されている認証情報の窃取、ルーティング動作の変更、永続的なバックドアの設置などを行う可能性がある。さらに、デバイスがボットネットに組み込まれる恐れもあるが、その間もデバイス自体は正常に動作し続けるため、所有者が侵害に気づくことは極めて困難である。

■「修正パッチなし」という業界全体の課題

サポート終了に伴い修正パッチが提供されないという状況は、セイコーソリューションズ製品に限った話ではない。セキュリティ企業Forescoutの2026年版レポートによると、企業ネットワークにおけるルーターのセキュリティリスクは急上昇しており、最もリスクの高いITデバイスカテゴリの首位となっている。ルーターやスイッチでは、1台あたり平均して約32件の脆弱性が観察されているという。

また、セキュリティ研究機関のデータによれば、IoTにおけるセキュリティ侵害の約60%は未修正のファームウェアに起因している。例えば2026年3月には、サポートが終了していたD-Link製ルーター「DIR-823X」の未修正の脆弱性を狙い、Miraiボットネットの亜種「tuxnokill」による大規模な悪用が観測された。今回のセイコー製品を巡る状況も、これと全く同じ構図をたどる懸念がある。

■推奨される対策と移行計画

セイコーソリューションズおよびJPCERT/CCは、対象製品をすぐにリプレースできない組織に対し、優先度の高い順に以下の回避策を講じるよう推奨している。

1. WebUIへのアクセスを完全に無効化する(最も効果的な対策)

2. WAN側からのアクセスを制限し、接続可能な外部IPアドレスを限定する

3. デフォルトの管理者パスワードを変更する

4. インターネットから直接アクセスできない閉域網にデバイスを配置する

ただし、これらの回避策はあくまで一時的なリスク低減策に過ぎず、根本的な解決にはならない。長期的な対策としては、デバイスの買い替え(リプレース)が不可欠である。セイコーソリューションズは、現在もサポートが継続されている現行世代モデル「MB-A200」や「MB-A130」への移行を推奨している。

■注目ポイントQ&A

●SkyBridge MB-A100/MB-A110でOSコマンド注入の脆弱性が見つかったのは初めてですか?

いいえ、初めてではありません。2022年8月にも同様のOSコマンド注入の脆弱性(CVE-2022-36556)が公表されており、当時は実際にこの脆弱性を悪用した攻撃が観測されていました。また、2023年3月にも14件の脆弱性が公表されています。

●なぜセイコーソリューションズはCVE-2026-50043の修正パッチをリリースしないのですか?

対象となるSkyBridge MB-A100およびMB-A110シリーズがすでにサポート終了(EOL)を迎えているためです。業界の一般的な慣行に従い、サポート終了製品に対する新規ファームウェアの開発は行われません。

●CVE-2026-50043が攻撃者に悪用された場合、どのような被害が発生しますか?

管理者権限を持つ攻撃者によってデバイスのOS上で任意のコマンドが実行される可能性があります。これにより、設定情報の窃取や改ざん、バックドアの設置、デバイスのボットネット化などが引き起こされる恐れがあります。

●影響を受けるルーターをすぐに交換できない場合、どのように対応すべきですか?

最も効果的な回避策は、脆弱性の攻撃対象領域となる「WebUIへのアクセスを完全に無効化すること」です。さらに、WAN側からのアクセス制限、管理者パスワードの変更、インターネットから隔離された閉域網への配置などを組み合わせて実施することが推奨されています。

元記事: Seiko SkyBridge Enterprise IoT Routers Hit With Permanent OS Injection: No Fix

※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。

関連キーワード

関連記事