TP-Link製のスマートホーム機器「Tapo」シリーズに、初期設定時のBluetooth通信が暗号化されない脆弱性(CVE-2026-34126)が公表されました。近くにいる攻撃者に通信を盗聴され、設定情報の傍受やデバイスの不正操作につながるおそれがあります。対象はスマート電球やスマート電源タップなど主に家庭向け機器ですが、オフィスや店舗に持ち込まれた「管理外のIoT」として、情シスにとっても無縁の話ではありません。
この記事でわかること
- 何が起きたか(CVE番号・影響製品・公表日)と、どの程度危険なのか
- 「平文送信」がなぜ問題で、攻撃にはどんな条件が必要なのか
- オフィスに潜む「シャドーIoT」という情シスの盲点
- 公的指針を使った、過剰でも過小でもない現実的な対応
何が起きたのか――TP-Link Tapoに「平文送信」の脆弱性
JPCERT/CCとIPAの調整のもと、2026年6月5日に脆弱性情報「JVN#70631953」が公開されました。TP-Link Systems Inc. が提供する複数のTapo製品で、初期設定(セットアップ)時のBluetooth通信が暗号化されていないという内容です。
「平文送信」とは、通信内容を暗号化せずそのまま流すことを指します。途中で通信を傍受されると、内容を第三者に読み取られてしまいます。本件はCWE-319(重要な情報の平文送信)に分類され、深刻度はCVSS v4.0で基本値7.3、CVSS v3.0で基本値6.7と評価されています。報告者は合同会社エルプラスのeyegrep氏・izurina氏で、情報セキュリティ早期警戒パートナーシップに基づき報告・調整されたものです。
影響を受ける製品とバージョン
JVNが公表している対象製品は次のとおりです。いずれも「これより前のファームウェア」が対象で、最新版で修正されています。
| 製品(型番) | 対象バージョン | 修正ファームウェア |
|---|---|---|
| Tapo L535E | v3.0(EU/US)、v1.0(JP) | 1.4.1 Build 251016 Rel.204554 より前が対象 |
| Tapo P300 | v1.0(EU/JP) | 1.4.2 / 1.4.0 より前が対象 |
| Tapo D100C | v1.0(EU/JP/US) | 1.3.1 Build 260421 Rel.031658 より前が対象 |
L535Eはスマート電球、P300はスマート電源タップ(電源制御)、D100Cはカメラ系の機器として知られるもので、いずれも家庭やSOHO向けのIoT機器です。詳細な対象バージョンと修正状況は、後述するTP-Linkの公式アドバイザリで最新情報を確認してください。
なぜ起きたのか――初期設定時のBluetoothが暗号化されていなかった
原因は、機器を使い始める初期設定の局面でBluetooth通信が暗号化されていなかった点にあります。多くのスマート機器は、最初にスマホアプリと近距離でペアリングし、そこでWi-Fiの接続情報などを受け渡します。この最初のやり取りが平文だと、近くで電波を傍受している攻撃者に内容が筒抜けになり得ます。
どんなリスクがあるのか――盗聴とセットアップ時の乗っ取り
想定されるのは、近接した攻撃者による通信の盗聴(Bluetoothスニッフィング)と、中間者攻撃による初期化中のデバイス不正制御です。JVNは「通信内容の傍受・改ざん、初期化中のデバイス不正制御が可能」としています。
ただし、現場目線で冷静に見ておきたい点もあります。この攻撃にはBluetoothの電波が届く物理的な近接と、初期設定や再設定を行うタイミングという条件が必要です。インターネット越しに不特定多数が一斉に狙える種類の脆弱性ではありません。とはいえ、初期設定はWi-Fi認証情報のような重要情報が流れる場面であり、「設置作業中だけだから」と油断できないのも事実です。深刻度が中程度(CVSS 7.3)にとどまるのは、こうした攻撃条件が反映された結果と理解すると、優先度の判断がしやすくなります。
情シスにとっての本質は「管理外IoT」という盲点
正直なところ、Tapoという家庭向け機器の名前を見て「うちの会社には関係ない」と感じた担当者も多いはずです。しかし現場を見渡すと、休憩室のスマートプラグ、会議室の照明制御、店舗や倉庫に置かれた小型カメラなど、誰かが善意で持ち込んだIoT機器は意外と存在します。そしてその多くは資産管理台帳に載っておらず、ファームウェアの更新状況も把握されていません。
限られた人員で全社のPCやサーバを見るだけでも手一杯のなか、こうした「管理外の小さな機器」一台一台まで目を届かせるのは、率直に言ってかなり難しいのが実情です。今回のような脆弱性が示すのは、特定製品の危険性というより、「把握できていない機器は、対策のしようがない」という当たり前で、しかし見落としがちな構図そのものです。
情シスはどうすべきか――まずは公的指針と棚卸しから
自前で長大なチェックリストを作る前に、信頼できる公的指針を起点にするのが近道です。IoTに関しては、IPAが体系的な情報をまとめています。
- IoTの基本と脅威・対策の全体像は、IPA「IoTのセキュリティ」のページが入口として分かりやすいです。
- 機器選定・運用の考え方は、IPA「IoT開発におけるセキュリティ設計の手引き」が、開発者向けながら利用側の勘所を理解するのにも役立ちます。
- 体制づくり全般は、IPA「中小企業の情報セキュリティ対策ガイドライン」を土台にすると、IoTだけが浮かない形で整理できます。
そのうえで現場運用としては、(1) 持ち込み機器を含めたIoTの棚卸し、(2) ファームウェアを最新に保つルール化、(3) 初期設定は人の少ない信頼できる環境で行う、といった地味な徹底が効きます。あわせて、「会社のネットワークに勝手に機器をつながない」「設定変更は申請する」といった利用者への啓発も欠かせません。エンドユーザ向けにはIPA「対策のしおり」などが説明材料として使えます。
中長期の視点――調達時に「ラベル」を見る習慣を
個別の脆弱性を追いかけ続けるのは現実的ではありません。中長期では、セキュリティに配慮された製品を選ぶ仕組みを取り入れるのが本筋です。IPAは、IoT製品のセキュリティ適合性を評価・表示する制度「JC-STAR(セキュリティ要件適合評価及びラベリング制度)」を進めています。今後IoT機器を調達する際に、こうしたラベルや適合状況を選定基準の一つに加えておくと、後追いの負担を減らせます。
まとめ
- TP-Link Tapo(L535E/P300/D100C等)の初期設定時Bluetoothが平文送信となる脆弱性CVE-2026-34126が公表(CVSS v4.0で7.3)。該当機器は最新ファームウェアへ更新する。
- 攻撃には物理的近接と初期設定タイミングが必要で、リモート一斉攻撃型ではない。深刻度は中程度だが、初期設定は重要情報が流れる場面のため油断は禁物。
- 本質は「管理外IoT」という情シスの盲点。棚卸し・更新・利用者啓発を地道に徹底し、調達ではJC-STAR等の公的な評価制度を選定基準に組み込む。
出典
- JVN: 複数のTP-Link製品における重要な情報の平文送信の脆弱性(JVN#70631953) https://jvn.jp/jp/JVN70631953/
- JPCERT/CC Weekly Report(2026年6月10日) https://www.jpcert.or.jp/wr/2026/wr260610.html
- TP-Link セキュリティアドバイザリ(公式) https://www.tp-link.com/us/support/faq/5106/
- IPA「IoTのセキュリティ」 https://www.ipa.go.jp/security/iot/about.html
- IPA「IoT開発におけるセキュリティ設計の手引き」 https://www.ipa.go.jp/security/iot/iotguide.html
- IPA「中小企業の情報セキュリティ対策ガイドライン」 https://www.ipa.go.jp/security/guide/sme/index.html
- IPA「対策のしおり」 https://www.ipa.go.jp/security/guide/shiori.html
