TP-Link製NVRとルーターに深刻な脆弱性 サポート終了製品も含まれるため要注意：セキュリティニュースアラート

TP-LinkのNVRおよびルーターに深刻な脆弱性が確認された。NVRはOSコマンドインジェクションによって不正に制御される恐れがあり、ルーターにはクリックジャッキングの脆弱性が存在する。後者はサポート終了により使用中止が推奨されている。

[後藤大地，有限会社オングス]

　TP-Linkは2025年7月22日（現地時間、以下同）、ネットワークビデオレコーダー「VIGI NVR1104H-4P V1」および「VIGI NVR2016H-16MP V2」において、認証済みおよび未認証のOSコマンドインジェクションの脆弱（ぜいじゃく）性（CVE-2025-7723およびCVE-2025-7724）を発表した。

　対象製品は、それぞれファームウェア「1.1.5 Build 250518」未満および「1.3.1 Build 250407」未満のバージョンだ。これらの脆弱性は攻撃者が機器のOSで任意のコマンドを実行できる恐れがあるものであり、それぞれCVSSv4.0のスコア値で8.5および8.7となる。

TP-Link製ネットワークビデオレコーダーに脆弱性　録画映像の改ざんが可能

　同脆弱性により、ネットワーク内にアクセス可能な第三者が適切な権限を持つ場合、または無認証でも、対象機器の制御を不正に実行できる可能性がある。CVSS v4.0の評価においていずれも攻撃の複雑性は低く、ユーザー操作を必要としない形で影響が発生することが明記されている。これにより録画映像の不正取得や改ざんといった情報漏えいの懸念も生じる。

　利用者には、TP-Linkから最新のファームウェアへのアップデートが推奨されており、アップデート後には設定内容の再確認も求められている。公式Webサイトには、該当モデルの最新バージョンのダウンロードリンクが提供されており、迅速な対応が望まれる。今回の脆弱性は、ネットワーク機器のセキュリティ管理体制の重要性をあらためて浮き彫りにする事例と位置付けられる。

　2025年7月24日にはJPCERTコーディネーションセンター（JPCERT/CC）からTP-Link製ルーター「Archer C1200」におけるクリックジャッキングの脆弱性も公表された。この脆弱性は管理用Webアプリケーションにおいて確認されたもので、バージョン1.1.5以前の機種が該当する。CVE識別番号はCVE-2025-6983だ。

　この脆弱性はログイン済みの利用者が悪意ある外部サイトに誘導されている際、ページ内に埋め込まれた透明または視認しづらいUI要素を誤って操作する可能性を含む。これにより利用者の意図とは異なる動作が実行される懸念がある。CVSSスコアの内訳において認証不要かつユーザー操作によって影響が発生し得る設計になっていることが示されている。通信内容の機密性や可用性への直接的な影響は確認されていないが、操作の整合性に関わる問題であり対処することが求められる。

　該当製品についてTP-Linkは既にサポートを終了しており、ファームウェア更新などの対応は実施されない状況だ。利用を継続することは危険性を伴うと判断され、使用の中止および後継機種への移行が推奨されている。製品自体も既に生産が終了しており、現行機種の選定や導入が現実的な対処手段となる。ユーザーにおいては、自身のネットワーク構成に含まれていないかを確認し、適切な措置を講じることが求められる。