1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. AcerのWave 7ルーターに2件のゼロデイ 脆弱性-(CVE-2026-49200,CVE-2026-49201)

AcerのWave 7ルーターに2件のゼロデイ 脆弱性-(CVE-2026-49200,CVE-2026-49201)

セキュリティニュース

投稿日時: 更新日時:

AcerのWave 7ルーターに2件のゼロデイ 脆弱性-(CVE-2026-49200,CVE-2026-49201)

2026年5月末、Acerは同社のWave 7 Wi-Fiメッシュルーターに存在するCVSS v4.0スコア10.0(最大値)の脆弱性2件を公式アドバイザリで公開しました。最大のリスクは2件ともに現時点でパッチが存在しないゼロデイ脆弱性である点です。

CVE-2026-49200は、認証を一切要求せずにWebインターフェース経由でacer_cgi.logファイルを読み取れるというアクセス制御の欠如であり、このログにはWebおよびTelnetの管理者パスワードが平文(クリアテキスト)で記録されています。CVE-2026-49201は、バックアップを処理するupload.cgiバイナリにAES暗号鍵がハードコードされており、攻撃者がバックアップを復号・改ざん・再暗号化して永続的なバックドアをルーターに注入できます。

攻撃に認証情報は不要で、同一ネットワーク(または外部からアクセス可能な場合)上にいるだけで実行できます。

Acerは2026年6月末までにファームウェアアップデートを公開する予定ですが、それまでの間は未修正の状態が続きます。影響を受けるファームウェアはT7c_GBL_1.01.000055以前のバージョンです。本記事では両CVEの技術詳細・攻撃シナリオ・暫定対策・アップデート手順を解説します。

サマリー

  • 2026年5月末、Acerが公式コミュニティアドバイザリでWave 7ルーターの2件のゼロデイ脆弱性を公開。発見者はセキュリティ研究者Gergo Pap氏
  • CVE-2026-49200(CVSS 4.0スコア10.0):acer_cgi.logファイルが認証なしでWebインターフェースから読み取り可能。同ファイルにはWebおよびTelnet管理者のログイン認証情報が平文で記録されている
  • CVE-2026-49201(CVSS 4.0スコア10.0):バックアップを処理するupload.cgiバイナリにAES暗号鍵がハードコードされており、攻撃者がバックアップを復号・改ざん・再暗号化してルーターへの永続的なバックドアを注入可能
  • 両CVEは攻撃ベクター:ネットワーク(AV:N)・攻撃の複雑さ:低(AC:L)・認証不要(PR:N)・ユーザー操作不要(UI:N)のCVSS最高評価
  • 影響を受けるファームウェアバージョン:T7c_GBL_1.01.000055以前。現時点でパッチ未提供(ゼロデイ)
  • パッチのリリース予定:2026年6月末。それまでは管理インターフェースへのネットワーク露出を制限することが最も有効な緩和策

CVE-2026-49200:認証不要でWebパネルから管理者パスワードが平文漏えい

Acerの公式アドバイザリとCVEデータベースのエントリによれば、CVE-2026-49200の公式説明は次のとおりです。「デバイスファームウェアのacer_cgi.logファイルは、Webインターフェース経由で認証なしにアクセスできる。このファイルには(Webおよび Telnet の)平文のログイン認証情報が含まれており、不正なシステムアクセスにつながる」。

この脆弱性のCAPEC分類は**CAPEC-37(埋め込まれた機密データの取得)**であり、CVSS 4.0ベクター文字列はAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:Hです。機密性(VC)・完全性(VI)・可用性(VA)の主観的・客観的両方の影響がすべて「高(High)」であることが最大スコア10.0の根拠です。

攻撃者はルーターのWebインターフェース(デフォルトで192.168.76.1またはacerconnect.comからアクセス)に対して、認証なしで単純なHTTPリクエストをacer_cgi.logのパスに送信するだけで管理者パスワードを取得できます。Telnetアクセスの認証情報も同様に漏えいするため、ルーターへのネットワーク層アクセスも可能になります。

CVE-2026-49201:バックアップのハードコードAES鍵で永続バックドアを注入

Acerの公式アドバイザリによれば、CVE-2026-49201の公式説明は次のとおりです。「バックアップの処理を担当するupload.cgiバイナリには、ハードコードされたAES暗号鍵が含まれている。これにより攻撃者はシステムバックアップを復号・改ざん・再暗号化でき、永続的なバックドアの注入が可能になる」。

この脆弱性の攻撃手順は次のとおりです。ファームウェアバイナリから静的なAES鍵を抽出(この鍵は全ての同型機器で共通)した後、Wave 7のシステムバックアップファイルを取得し、その鍵を使用して復号します。次に、復号されたバックアップに悪意あるコード(スクリプト・バックドア設定等)を埋め込み、同じAES鍵で再暗号化します。最後に、改ざんされたバックアップをルーターにアップロードします。これにより、攻撃者のコードがルーターのファームウェアに永続的に組み込まれ、ルーターを再起動しても消えない「永続バックドア」が確立されます。

CVE-2026-49200で取得したログイン認証情報をこの攻撃と組み合わせることで、攻撃者は完全な権限を持つバックドアをルーターに設置し、長期的なネットワーク侵害の足がかりを作ることができます。

2つのCVEを組み合わせた攻撃シナリオ——完全なルーター掌握から内部ネットワーク侵害へ

2件のCVEは独立して悪用可能ですが、組み合わせることで非常に深刻な攻撃が実現します。

まずCVE-2026-49200を利用してacer_cgi.logから管理者パスワードを取得します(認証不要)。次にその認証情報を使用して管理インターフェースにログインし、システムバックアップをダウンロードします。CVE-2026-49201のハードコードAES鍵を使ってバックアップを復号・改ざん(バックドアスクリプト・不正DNS設定・マルウェア等を注入)した後、再暗号化してルーターにアップロードします。

この結果、攻撃者はルーターの完全な制御を得て、接続されたすべての家庭内・企業内デバイスのトラフィックを傍受・操作でき、中間者攻撃(MitM)によるSSLストリッピング・DNSハイジャック・マルウェアの配布が可能になります。家庭内のスマート家電・監視カメラ・パソコンへの横断的な侵害(ラテラルムーブメント)も想定されます。

現状とパッチスケジュール——2026年6月末まで未修正

Acerが公表したアドバイザリには対象となるファームウェアバージョンとしてT7c_GBL_1.01.000055が明記されていますが、これは影響を受けるバージョンであり修正済みバージョンではありません。ファームウェアバージョンはルーターの管理コンソールから「システム管理」→「ファームウェアアップデート」で確認できます。

暫定的な緩和策—管理インターフェースへのアクセスを制限する

パッチが公開されるまでの間、最も有効な緩和策はルーターの管理インターフェースへのアクセスを信頼済みのデバイスのみに制限することです。

インターネット側(WAN)からルーターの管理インターフェース(ポート80/443・Telnet等)へのアクセスが有効になっている場合は即座に無効化してください。ルーターの管理アクセスを特定のMACアドレスまたはIPアドレスに制限するアクセスコントロールリスト(ACL)が設定できる場合は設定してください。Telnetが有効になっている場合は、SSHが利用可能であればSSHに切り替えてTelnetを無効化してください。

管理者アカウントのパスワードを強力なランダム文字列に変更することも推奨します(ただしCVE-2026-49200では変更後のパスワードもacer_cgi.logに記録される可能性があるため、根本的な解決にはなりません)。

アップデート手順——パッチ公開後に実施

Acerがファームウェアアップデートを公開した際は、以下の手順でアップデートを実施してください。

まず、コンピューターをAcer Wave 7ルーターにWi-FiまたはEthernetで直接接続します。Webブラウザを開いてルーターのWebコンソール(192.168.76.1またはacerconnect.com)にアクセスします。管理者権限でログイン後、「システム管理」→「ファームウェアアップデート」を選択して保留中のアップデートを確認・適用してください。

最新のファームウェアはAcerの公式ダウンロードページからも入手可能です。パッチリリースの通知を受け取るには、Acer Communityのアドバイザリページを定期的に確認するか、Acerサポートのメール通知を設定することを推奨します。

FAQ

Q. Acer Wave 7以外のAcer製ルーターも影響を受けますか? A. 今回のアドバイザリはWave 7専用のものです。ただし、同時期にAcer Connect W6xルーターについても別のセキュリティアドバイザリが公開されており(community.acer.com/en/kb/articles/19672)、W6xも「認証メカニズムの強化・アクセス制御の改善・不正入力実行の防止」を目的としたファームウェアアップデートが予定されています。W6xユーザーも同様にアドバイザリを確認してください。

Q. 「ハードコードされた暗号鍵」とはどういう意味で、なぜ問題なのですか? A. ハードコードされた暗号鍵とは、ファームウェアのバイナリコードに固定値として埋め込まれた暗号鍵です。同じファームウェアが搭載されているすべての機器が同一の鍵を持つため、ファームウェアを解析して鍵を抽出すれば、世界中の同型機器のバックアップを復号できます。鍵を変更するにはファームウェア自体の更新が必要であり、ユーザーが独自に修正することはできません。

Q. インターネット(外部)に管理インターフェースを公開していなければ安全ですか? A. 外部公開を避けることで遠隔地の攻撃者からのリスクは大幅に低減します。ただし、同一ネットワーク上の侵害済みデバイス(マルウェアに感染したスマートフォンやパソコン)から攻撃が実行される可能性は残ります。また、ゲスト用Wi-Fiを提供している場合、ゲストユーザーが管理インターフェースに到達できる設定になっていないかも確認してください。

Q. パッチ公開はいつ確認できますか? A. Acerの公式情報はAcerコミュニティのセキュリティアドバイザリダウンロードページで確認できます。6月末を目標とした公開予定ですが、具体的な日程はAcerから未発表です。パッチ公開後はできる限り早急に適用してください。

参考情報

関連記事

イラン系APTが対イラン米軍作戦 Operation Epic Furyに連動し航空・ソフトウェア企業へサイバー攻撃イラン系APTが対イラン米軍作戦 Operation Epic Furyに連動し航空・ソフトウェア企業へサイバー攻撃 マルウェア グループ TeamPCPが自作ワーム「Shai-Hulud」をGitHubでOSS公開-サイバー攻撃への悪用の恐れマルウェア グループ TeamPCPが自作ワーム「Shai-Hulud」をGitHubでOSS公開-サイバー攻撃への悪用の恐れ LiteSpeed User-End cPanelプラグインの脆弱性 CVE-2026-48172がサイバー攻撃に悪用中LiteSpeed User-End cPanelプラグインの脆弱性 CVE-2026-48172がサイバー攻撃に悪用中 Sambaに2件の致命的な脆弱性-CVE-2026-4408とCVE-2026-4480Sambaに2件の致命的な脆弱性-CVE-2026-4408とCVE-2026-4480 DrupalCoreのSQLインジェクション 脆弱性 CVE-2026-9082が実際のサイバー攻撃に悪用DrupalCoreのSQLインジェクション 脆弱性 CVE-2026-9082が実際のサイバー攻撃に悪用 Windows Netlogonの脆弱性がサイバー攻撃に悪用(CVE-2026-41089)Windows Netlogonの脆弱性がサイバー攻撃に悪用(CVE-2026-41089) SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887)SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887) nginxの「njs」モジュールにCVSS 9.2の深刻なヒープバッファオーバーフロー脆弱性 CVE-2026-8711nginxの「njs」モジュールにCVSS 9.2の深刻なヒープバッファオーバーフロー 脆弱性 CVE-2026-8711 GitHubがGHES 3.20.3をリリース-事前認証SSRFが可能な脆弱性を修正-CVE-2026-9312GitHubがGHES 3.20.3をリリース-事前認証SSRFが可能な脆弱性を修正-CVE-2026-9312