TP-LinkのWi-Fi 7対応ルーター「Archer BE230」を含む3機種に、CVSS(共通脆弱性スコアリングシステム)v4.0スコア最高8.6の脆弱性が計11件確認された。いずれもOS Command Injection(OSコマンドインジェクション、CWE-78)という同一種別であり、認証さえ突破した攻撃者はroot権限で任意のコマンドを実行してデバイスを完全掌握できる。

攻撃経路は隣接ネットワーク(Adjacent)に限定されているが、管理インターフェース・VPNモジュール・クラウド通信基盤まで横断的に狙える構造的問題は深刻だ。TP-Linkはパッチ済みファームウェアを配布済み。2024〜2025年にかけてCISAが警告を出し、中国系脅威アクターによるボットネット悪用が報告されてきたTP-Linkのセキュリティ問題は、最新世代の製品にも引き継がれた形だ。

AD

Archer BE230など3機種に11件のCVE——何が攻撃面になったか

今回公開された11件のCVEは CVE-2026-0630、CVE-2026-0631、CVE-2026-22221〜22227、CVE-2026-22229 の3グループに分かれる。機種ごとの内訳はArcher BE230 v1.2が全11件の対象、Archer AXE75 v1.0が2件、Deco BE25 v1.0が1件だ。CVSSv4.0スコアはCVE-2026-22229が8.6(High)で最高値を記録し、残るCVE-2026-0630〜22227は8.5(High)で横並びになっている。攻撃条件に「隣接ネットワーク(Adjacent)」が設定されているため、インターネット経由での直接悪用は難しく、この点がスコアを若干押し下げている。なお、ゲストネットワークを開放しているArcher BE230では、接続した外部端末がこの「隣接ネットワーク」条件を満たすため、共有Wi-Fi環境では実質的な攻撃距離が縮まる。

攻撃者はまず同一ネットワーク上に接続し、正規の認証情報でログインする。その後、検証不十分な入力フィールドにシェルコマンドを埋め込んだ文字列を渡すと、バックエンドがroot権限でそのコマンドを実行してしまう。発見者として名前が挙がっているのは jro、caprinuxx、sunshinefactory、Charbel Farhat の4名であり、4者が独立して同一種別の問題を掘り起こした事実は、TP-Link内部のセキュリティレビューがこれらを事前に検出できていなかったことを示している。

WebモジュールからVPNまで——同種の入力検証不備が横串で刺さる構造

Archer BE230 v1.2で11件が集中した背景に、開発上の構造的問題がある。公式アドバイザリー(faq/4935)が列挙する脆弱箇所はWebモジュール、VPNモジュール、クラウド通信モジュール、設定バックアップ・復元機能と多岐にわたり、それぞれが独立した機能であるにもかかわらず同じ「入力検証をしないままシェルに渡す」というコードパターンが繰り返されている。個別のバグではなく、開発工程全体で入力検証の確認が欠けていたことを示す。

VPNモジュールのインジェクションが示す攻撃シナリオは具体的だ。VPN機能への書き込みアクセスは、デバイス全体の完全掌握への最短経路になりうる。インサイダー脅威や、一度侵害された隣接端末からの横展開(ラテラルムーブメント)では特に影響が大きい。設定バックアップ・復元機能も同様で、悪意を持って細工されたバックアップファイルを読み込ませることで同じ結果に至る。

TP-Linkのアドバイザリーは「なぜ同一パターンの不備が複数モジュールに存在したのか」の理由に一切触れていない。複数の独立した発見者が同一種別の欠陥を同時期に掘り起こした事実は、機能追加ごとに入力サニタイズをレビューする工程が機能していなかったことを直接的に示している。Tenable社が公開するEPSSスコア(エクスプロイト予測スコアリングシステム)はCVE-2026-22221の時点で0.00103(0〜1スケール。この数値は今後30日以内に悪用される確率が約0.1%であることを示す)と低水準だが、PoC(概念実証コード)が出回るにつれて急上昇した過去事例は多い。

AD

CISAの警告からボットネットへ——TP-Linkセキュリティ問題の連鎖

2024年11月、Microsoftは中国国家支援の脅威アクター「Storm-0940」がTP-Linkルーター群で構成するボットネット「CovertNetwork-1658」をMicrosoft Azureへのパスワードスプレー攻撃に使用していたと報告した。このボットネットには数千台規模のルーターが含まれていた。2025年9月にはCISA(米サイバーセキュリティ・インフラセキュリティ庁)がTP-Linkの別脆弱性2件(CVE-2023-50224、CVE-2025-9377)を「既知の悪用済み脆弱性(KEV)カタログ」に追加し、連邦政府機関に対して緊急パッチ適用を命じた。米国では下院特別委員会が2024年に商務省へTP-Linkの調査要請を提出し、商務・国防・司法の3省が個別に調査を開始している。

今回のArcher BE230は2024年発売のWi-Fi 7対応機種だ。Wi-Fi 7(IEEE 802.11be)は最大理論スループット46 Gbpsを謳う次世代規格であり、最新プラットフォームで書き直されたはずの製品にも旧世代と同一手口の脆弱性が存在する。コードの改善が世代交代と連動しなかったことを裏づける。同時期にArcher AX53 v1.0でも(今回の対象3機種とは別に)CVE-2026-30814〜30818(CVSSv4.0最高8.5)という5件のCVEが報告されており、TP-Linkは現在、複数の製品ラインで並行してパッチ対応を強いられている。2024年のCovertNetwork-1658報告から2026年の今回まで、同社のセキュリティ体制は構造的に変わっていない。

今すぐ確認すべきファームウェアバージョン

TP-Linkはパッチ済みファームウェアを公式サイトおよびルーター管理画面からダウンロード可能な状態に置いている。対象3機種の修正バージョンは以下のとおりだ。

機種修正済みバージョン
Archer BE230 v1.21.2.4 Build 20251218 rel.70420 以上
Archer AXE75 v1.01.5.3 Build 20260209 以上
Deco BE25 v1.01.1.1 Build 20250822 より新しいバージョン

確認手順はルーターの管理画面(通常は192.168.0.1または192.168.1.1)にログインし、「ファームウェア」もしくは「システム」メニューを開いて現在のビルド番号と照合するだけだ。自動更新が有効であればすでに適用済みの場合もある。

攻撃条件が「隣接ネットワーク+認証済み」であることを考えると、家庭内LANに他者がアクセスできる環境——シェアハウス、オフィスの共有Wi-Fi、ゲスト開放ネットワーク——では優先度が上がる。特にゲストネットワーク機能を有効にしているArcher BE230ユーザーは、ゲストとして接続した端末から管理者認証情報を奪取された場合を想定して、早急なアップデートとパスワードの見直しを検討してほしい。

CVE-2026-22229のCVSSv4.0スコア8.6が示すのは、完全な機密性(C:H)・完全性(I:H)・可用性(A:H)への侵害だ。パッチ適用後も、多くのTP-Link機種では「リモート管理を無効化」オプションとして提供されているファームウェアの自動更新設定の有効化と管理インターフェースへのアクセスをローカルLANのみに制限する設定を組み合わせることで、同種の脆弱性が将来発見された場合の被害範囲を絞れる。

Sources