ネットワーク機器メーカーZyxelは2026年6月16日、スマートマネージドスイッチ「GS1900」シリーズに深刻な脆弱性(CVE-2026-7273)があると公表し、修正ファームウェアを提供しました。同一LAN内の攻撃者であれば、認証なしで細工したHTTPリクエストを送るだけでスイッチ上のOSコマンドを実行できる恐れがあります。CVSS 3.1の基本値は8.8(重要度「高」)です。対象は8ポート機から48ポート機まで計10モデルに及び、社内ネットワークの土台となる機器だけに、自社で使っていないかの棚卸しと早期のファームウェア更新が求められます。
この記事でわかること
- CVE-2026-7273がどんな脆弱性で、何が危険なのか
- 影響を受けるGS1900の具体的なモデルと修正版ファームウェア
- 情シスが今すぐ確認・実施すべきこと
何が起きたのか
問題となっているのは、GS1900シリーズの管理用Web画面を処理するCGIプログラムに存在するスタックベースのバッファオーバーフロー(CWE-121)です。攻撃者が想定を超える長さのデータを含むHTTPリクエストを送ると、メモリ上の領域があふれ、最終的にスイッチ上で任意のOSコマンドが実行され得ます。
重要なのは、この攻撃にログイン(認証)が不要な点です。一方で、攻撃の起点はインターネット越しではなく「隣接ネットワーク」、つまり同じLANセグメントからのアクセスが前提です(CVSSの攻撃元区分はAdjacent)。脆弱性はISCAS(中国科学院ソフトウェア研究所)の研究者らによって報告されました。
どのくらい危険なのか?
CVSS 8.8は「高」に分類され、放置すべきでない水準です。インターネットから直接は届かないとはいえ、スイッチはネットワークの中枢であり、乗っ取られれば通信の盗聴・改ざんや内部での横展開(ラテラルムーブメント)の足場にされかねません。
影響を受けるモデルと修正版ファームウェア
Zyxelの公式アドバイザリによると、影響を受けるのは以下の10モデルです。いずれも修正版ファームウェアが提供済みで、末尾が「.2)C0」のバージョンが対策版です。
| モデル | 影響を受けるバージョン | 修正版 |
|---|---|---|
| GS1900-8 | 2.90(AAHH.1)C0 以前 | 2.90(AAHH.2)C0 |
| GS1900-8HP | 2.90(AAHI.1)C0 以前 | 2.90(AAHI.2)C0 |
| GS1900-10HP | 2.90(AAZI.1)C0 以前 | 2.90(AAZI.2)C0 |
| GS1900-16 | 2.90(AAHJ.1)C0 以前 | 2.90(AAHJ.2)C0 |
| GS1900-24 | 2.90(AAHL.1)C0 以前 | 2.90(AAHL.2)C0 |
| GS1900-24E | 2.90(AAHK.1)C0 以前 | 2.90(AAHK.2)C0 |
| GS1900-24EP | 2.90(ABTO.1)C0 以前 | 2.90(ABTO.2)C0 |
| GS1900-24HPv2 | 2.90(ABTP.1)C0 以前 | 2.90(ABTP.2)C0 |
| GS1900-48 | 2.90(AAHN.1)C0 以前 | 2.90(AAHN.2)C0 |
| GS1900-48HPv2 | 2.90(ABTQ.1)C0 以前 | 2.90(ABTQ.2)C0 |
自社の在庫管理台帳やスイッチの管理画面で、型番と現在のファームウェアバージョンを照合してください。型番が一致しても、すでに最新版を適用済みなら影響はありません。
想定されるリスク
- 通信の盗聴・改ざん:スイッチを掌握されると、配下の端末間トラフィックを覗かれる・書き換えられる恐れがあります。
- 横展開の足場:境界を越えて侵入した攻撃者が、内部のスイッチを次の拠点として悪用するシナリオが考えられます。
- 持続的な潜伏:ネットワーク機器はEDRの監視対象から外れがちで、不正な設定変更やバックドアに気づきにくいのが実情です。
現場目線の課題
正直なところ、PCやサーバーのパッチ適用は運用に乗っていても、スイッチやアクセスポイントといったネットワーク機器のファームウェア更新は後回しになりがちです。「動いているネットワーク機器には触りたくない」という心理も働きます。さらにGS1900はSMB(中小規模)向けの普及機で、台数が多く、設置場所が島ハブのように分散しているケースも少なくありません。「どこに何台あって、ファームウェアはいつのものか」を即答できる組織は意外と多くないのではないでしょうか。今回のように未認証で悪用されうる脆弱性が出たときに、対象機器の洗い出しに時間がかかること自体が一つのリスクだと感じます。
情シスはどうすべきか
まずはZyxel公式アドバイザリで自社の型番が対象かを確認し、対象であれば速やかに修正版ファームウェアへ更新するのが基本です。すぐに更新できない場合は、暫定策として管理画面(Web/HTTP)へアクセスできる範囲を運用ネットワークや管理用VLANに限定することで、攻撃の起点を狭められます。スイッチの管理インターフェースを一般の業務LANから分離する設計は、今回に限らず有効な多層防御です。
脆弱性対応の進め方や優先度づけの考え方は、自前のチェックリストを作る前に公的機関の指針を土台にすると効率的です。IPAの中小企業の情報セキュリティ対策ガイドラインは、機器の棚卸しや更新運用の基本を押さえるのに役立ちます。あわせて、JPCERT/CCやJVNといった一次情報を平時から確認する習慣づけ、現場の運用担当者への啓発も地道ですが効果的です。関連する脆弱性・脅威情報の記事一覧もあわせてご確認ください。
中長期の視点
GS1900シリーズは過去にもOSコマンドインジェクションや権限昇格の脆弱性が報告されています。特定機種を責める話ではなく、ネットワーク機器も「定期的にパッチを当てる資産」として管理対象に組み込む運用への転換が本質的な対策です。機器台帳にファームウェアバージョンの欄を設け、ベンダーのアドバイザリ配信を購読し、棚卸しと更新を定期業務に落とし込む——地味ですが、こうした基盤づくりが次の脆弱性公表時の初動を大きく左右します。
まとめ
- Zyxel GS1900シリーズにCVSS8.8の脆弱性(CVE-2026-7273)。LAN内の未認証攻撃者にOSコマンドを実行されうる。
- 対象は計10モデル。修正版ファームウェア(末尾「.2)C0」)が提供済みで、型番とバージョンを照合し早期更新を。
- すぐ更新できない場合は管理画面のアクセス制限が暫定策。ネットワーク機器もパッチ管理の対象に組み込む運用が中長期の鍵。
