TP-Link製ルーターに重大な認証バイパス脆弱性——今すぐパッチを適用せよ
TP-Linkは、同社のArcher NXシリーズルーターに存在する複数の脆弱性に対するセキュリティアップデートをリリースした。中でも最も深刻なのが、認証を一切必要とせずに攻撃者がファームウェアの書き換えや設定変更を行える「認証バイパス」の脆弱性だ。
CVE-2025-15517:認証なしで管理操作が可能
最も危険な脆弱性はCVE-2025-15517として追跡されており、Archer NX200、NX210、NX500、NX600の各ワイヤレスルーターが対象となる。
TP-Linkの公式声明によれば、「HTTPサーバー内の特定のCGIエンドポイントに対する認証チェックの欠如により、認証済みユーザー向けの機能に未認証でアクセスできる状態になっていた」という。攻撃者は特別な権限がなくても、ファームウェアのアップロードや設定変更といった管理操作を遠隔から実行できてしまう。
合わせて修正された3つの脆弱性
今回のアップデートでは追加の脆弱性も修正されている。
- CVE-2025-15605:設定ファイルのバックアップ・復元機能にハードコードされた暗号化キーが存在し、認証済み攻撃者が設定ファイルを復号・改ざん・再暗号化できた
- CVE-2025-15518 / CVE-2025-15519:管理者権限を持つ攻撃者が任意のコマンドを実行できるコマンドインジェクション脆弱性
TP-Linkを巡るセキュリティ問題の経緯
TP-Linkはここ数年、セキュリティ面での問題が相次いでいる。2024年5月に報告された別のゼロデイ脆弱性では、パッチ公開が遅れたため2025年9月に緊急対応を強いられた経緯がある。また米国土安全保障省傘下のCISA(サイバーセキュリティ・インフラセキュリティ庁)は、TP-Linkの脆弱性のうち6件を「実際の攻撃に悪用された」として登録。中には2015年に報告されたディレクトリトラバーサル脆弱性(CVE-2015-3035)も含まれており、長年にわたる修正対応の遅さが浮き彫りになっている。
さらに、中国政府の支援を受けたハッカーグループがTP-Linkのルーターを踏み台として悪用しているとして、米国テキサス州司法長官が2026年2月に同社を提訴。そして今週、米国FCC(連邦通信委員会)は「国家安全保障上の許容できないリスク」を理由に、国外で製造されたルーターの販売禁止を盛り込んだリスト更新を行った。
日本のユーザーへの影響と対応
Archer NXシリーズは国内でも販売されており、個人・法人ともに影響を受ける可能性がある。TP-Linkは「推奨される対応を取らない場合、脆弱性は残り続ける。本アドバイザリに従うことで回避できた結果についての責任を、TP-Linkは負えない」と異例の強い表現で警告している。
対応手順:
- TP-Linkの公式サポートページで対象機種の最新ファームウェアを確認する
- ルーターの管理画面または公式ツールからファームウェアを更新する
- 更新後はデフォルトの管理者パスワードを変更する
ルーターの脆弱性は一度悪用されると、家庭内のすべての通信が盗聴・改ざんされるリスクがある。該当機種を使用しているユーザーは速やかに更新を行ってほしい。
元記事: TP-Link warns users to patch critical router auth bypass flaw