バッファロー製ネットワーク機器に6件の脆弱性が発覚
2026年3月27日、バッファローはWi-Fiルーターや中継機、VPNルーターなど計46モデルに複数の脆弱性が存在することを公表しました。
JPCERT/CCも4月1日のWeekly Reportで注意喚起を行っており、影響範囲の広さから早急な対応が求められています。
今回公表された脆弱性は6件にのぼり、なかでも深刻なのがコードインジェクション(CVE-2026-32669)、認証回避(CVE-2026-32678)、OSコマンドインジェクション(CVE-2026-27650)の3件です。
いずれもCVSS(脆弱性の深刻度を示すスコア)が8.6〜8.8と「高」に分類されており、
悪用されればルーター上で任意のコマンドを実行されたり、認証を迂回して設定を書き換えられたりする可能性があります。
なぜこの脆弱性は危険なのか
ルーターはインターネットと社内ネットワークの境界に位置する機器です。ここが突破されるということは、いわば建物の正面玄関の鍵が壊れている状態と同じでしょう。
特に今回のOSコマンドインジェクション(CVE-2026-27650)は、認証なしにリモートから攻撃が可能と報告されています。
つまり、攻撃者がIDやパスワードを知らなくても、外部からルーターを乗っ取れてしまうのです。
見落としがちなのが、ルーターの脆弱性は「侵入の入り口」になるだけではないという点です。乗っ取られたルーターはC2サーバー(攻撃者の指令サーバー)との通信中継や、他の組織への攻撃の踏み台として悪用されるケースも少なくありません。自社が被害者になるだけでなく、知らないうちに加害者になるリスクも考えなければなりません。
対象製品の確認と対処方法
バッファローは46モデルのうち39製品に対して対策済みファームウェアを提供済みです。まず確認すべきは、自社で使用している機器の型番とファームウェアバージョンでしょう。
ルーターの管理画面にログインすれば、現在のファームウェアバージョンを確認できます。
問題は残り7製品がサポート終了のためアップデートが提供されないこと。
対象は以下のモデルです。
- WZR-600DHP
- WZR-600DHP2
- WZR-600DHP3
- WZR-900DHP
- WZR-900DHP2
- WZR-S600DHP
- WZR-S900DHP
これらを使い続ける限り脆弱性は修正されないため、バッファローは使用停止と新製品への買い替えを推奨しています。
「まだ動いているから大丈夫」と思うかもしれません。しかし、攻撃者はまさにそうした更新されない古い機器を狙い撃ちにします。
実際、IPAも2025年10月にVPN機器やルーターが攻撃の踏み台にされる「ORB化」のリスクについて注意喚起を出しており、放置された旧型機器のリスクは高まる一方です。
情シス担当者が今週中にやるべきこと
対応は大きく3つのステップに分かれます。
まず、社内のバッファロー製ネットワーク機器をすべて棚卸ししてください。
本社だけでなく拠点やリモートオフィスに設置されている機器も見落とさないことが大切です。
次に、対策ファームウェアが提供されている39製品については速やかにアップデートを実施しましょう。バッファローの一部機種にはファームウェア自動更新機能が搭載されていますが、古いモデルでは手動更新が必要な場合もあります。
最後に、サポート終了のWZRシリーズ7製品が見つかった場合は、買い替えの稟議を早めに上げることをおすすめします。経営層への説明では「CVSSスコア8.8の脆弱性が修正不可能な状態で放置されている」「攻撃の踏み台にされ加害者になるリスクがある」という2点が効果的ではないでしょうか。
ネットワーク境界の機器を最新の状態に保つことは、セキュリティ対策の中でも最も基本的かつ効果の高い取り組みなのです。
