パソコン(PC)の森

2026/04123456789101112131415161718192021222324252627282930312026/06

≫ EDIT

NECの無線LANルーターの脆弱性について3

【NECの無線LANルーターの脆弱性について3】

脆弱性が存在する機種が5月に報告として上がって来たので、該当の機種を利用していて自動更新を切っている場合は、手動でファームウェアを更新して下さい。



【関連サイト】
1:2026年5月 Aterm製品におけるLAN側からの不正アクセスの脆弱性への対処方法について
2:NEC Atermシリーズにおけるクロスサイトスクリプティングの脆弱性(NV26-002)
3:NEC AtermシリーズにおけるOSコマンドインジェクションの脆弱性(NV26-003)



【問題の詳細】
NECのルーターに複数の脆弱性があり、複合的に以下の問題が発生する可能性がある様です。

NEC公式だと詳細が半端にしか載せられていないので、JVNの方を確認して下さい


1:クロスサイトスクリプティング
悪意のあるスクリプトを仕込まれたサイトAを見てから脆弱性のあるサイトBを閲覧すると、悪意のあるスクリプトでサイトBの偽サイトに誘導されてしまう

2:OSコマンドインジェクション
悪意ある第三者がルーターにアクセスした場合、LAN上にあるPCに対して任意のOSコマンドを実行される


今回も基本的にルーターにアクセスされないと攻撃を食らわない脆弱性なのですが、この脆弱性を突く為のマルウェア(悪意のあるソフトウェア)にLAN内の機器が感染すると攻撃を受ける事になるので、ルーターのPASSが漏れていなければ問題ないとはならないと考えて下さい。



【対象の機種】
【1対象】
19000T12BE Ver.1.1.0 より前のバージョン

WX11000T12 Ver.1.4.0 より前のバージョン
WX7800T8   Ver.1.5.1 より前のバージョン
WX5400HP  Ver.2.1.0 より前のバージョン
WX4200D5  Ver.1.3.5 より前のバージョン
WX3000HP2  Ver.1.3.2 より前のバージョン
WX1800HP  Ver.3.2.2 より前のバージョン

SH621A1   Ver.3.2.2 より前のバージョン
GX621A1   Ver.3.2.2 より前のバージョン


【2対象】
MR51FN   Ver.3.4.0 より前のバージョン
CM51FD   Ver.1.2.0 より前のバージョン



【対処法】
基本的にファームウェアが当たるサポート期間内のモデルは、管理設定から自動更新を止めていない限り、自動的にファームウェアのアップデートがあたって対処されます。

止めている場合は自動更新されないのでAterm検索ツールでルーターを検出したら、ブラウザでアクセスしてadminと本体シールに書いてある(Web PW)でログインしてメンテナンスのファームウェア更新から更新して下さい。

モバイルルーターについてはファームウェアの更新方法が↑の公式リンクの先にあるので確認して下さい。

尚、公式には無いですが、JVNの方に載っている機種も同じ方法で上げられます。



今回の脆弱性はサポート期間内の場合は管理設定から止めていない限り自動ファームアップで対処されます。

基本的にLAN内の話なのでWAN(外部ネットワーク)から攻撃は受けませんが、LAN内の機種が感染していると間接的に攻撃を受ける可能性があるので注意が必要です。



【関連記事】

NECの無線LANルーターの脆弱性について
NECの無線LANルーターの脆弱性について2


このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。




総合情報に戻る

TOPに戻る

| ハードウェア | 21:00 | comments:0 | trackbacks:0 | TOP↑

≫ EDIT

CVE-2025-48516の脆弱性はファームウェアの問題

【CVE-2025-48516の脆弱性はファームウェアの問題】

AMDが今月の脆弱性の公開情報をImpressが窓の杜で翻訳した記事を出した訳ですが、元サイトが誤解される様な書き方をしているせいではありますが、翻訳している者が内容を理解せずに誤解する様な翻訳をしているので注意を一つ。



【ほとんどの脆弱性はファームウェア(制御プログラム)起因】

AMD Athlon™, AMD Ryzen™, and AMD Ryzen™ Embedded Series Processor Vulnerabilities – May 2026

大元の題名自体がもう駄目ですが、一部ハード起因で脆弱性になっているものもあっても殆どファームウェアを修正すれば対策できる問題です。

と言うよりも、制御設定に問題があって脆弱性になっているので、CPU側の問題ではなくMB側の問題です。

CPUの表は、そのCPUが搭載されている環境のMBに問題があると影響が出るという事を表しているだけです。



【CVE-2025-48516は基本的に制御設定の問題】

AMDが混乱する様な追記をしているせいでハード自体に問題があるかの様に誤訳しているので注意が必要です。

CVE-2025-48516(OpenCVE)

脆弱性情報を公開している所の情報を読めばわかりますが、BIOS内のブートローダーファームウェア(起動用制御プログラム)が不安定なデフォルト設定によって、

メモリ用の電力制御を行っているPMIC(Power Management IC)の制御の権限設定がザルになり、OS上から制御が出来る状態になっている為、電圧制御をおかしくして正常に動作させ無くしたり、壊れる様な電圧にする攻撃を食らう可能性が出ます。

つまり、基本はMBファームウェアの問題である訳です。

↑のOpenCVEを読めばわかる様に修正されたAGESAファームウェアアップデートを取得して、制御設定を修正すれば攻撃を受け無くなるので、安心して下さい。


Mitigation requires hardware modifications which are targeted for future platforms.

尚、↑の一文のから誤訳がされている訳ですが、将来的にCPUの回路側も改良する事で制御プログラムでの修正と同等の修正をハード側でするか、ハードと制御を合わせて対応するという事を言っています。

表のCPU毎のNo fix plannedは、CPUを回路設計で修正せずMB側のファームウェアで対応するので、CPUの修正予定はないと表記しているだけです。

脆弱性が放置される訳ではないので勘違いしない様にして下さい。



【攻撃は基本愉快犯から】
CVE-2025-48516の脆弱性はPMICの制御を乗っとるだけなので、電圧を下げてメモリの機能不全で落とすか、電圧を上げてメモリを壊すか位しか攻撃できません。

基本ローカルユーザーが、PMICの制御をOS上からメモリ関連のツールを使って取得する必要がありますので、基本PCに触れる環境にいる必要がありますが、攻撃用のマルウェアに感染すると被害者が実行してしまう可能性はあります。

但し、情報が取得できる訳でもなく、起動出来なくするかメモリを破壊する事しかできないので、攻撃者にマルウェアを作る旨味がありません。

だから、愉快犯が主体になる訳です。



内容を確認すれば何が原因で起きた脆弱性なのか分かるのですが、ファームのプログラムミスで発生している脆弱性なのに、公式自体が分かり易い様に説明せずにCPUリストで対象が、とやるせいでハードの脆弱性と誤認される事があるので、広報はよく考えてほしいものです。



このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。




総合情報に戻る

TOPに戻る

| ソフトウェア | 00:40 | comments:0 | trackbacks:0 | TOP↑

≫ EDIT

Radeon Driverにスリープ復帰後にファン制御が効かなくなる問題

【Radeon Driverにスリープ復帰後にファン制御が効かなくなる問題】

5月に公開されたAdrenalin Edition 26.5.1以降を入れると、スリープ復帰後にセミファンレス仕様のグラフィックボードが設定によってはファン制御が効かなくなる問題が出ている様なので注意を一つ。



【関連記事】

AMD Driver Update Sparks 'Zero RPM' Fan Woes: Are Your GPU Temps Climbing?



【問題の詳細】
まず現在のグラフィックボードのファン制御について説明しますが、現在のグラフィックボードの多くには静音化目的で負荷が掛かってGPUやVRAMの温度が一定以上に上がった時だけファンを回して冷却する機能が付いています。

上記はセミファンレスと呼ばれる機能ですが、Radeonのツール上の機能としては0 RPM(ゼロ RPM)としてしています。

現在発生している問題は、5月6に公開されたRadeon用ドライバのAdrenalin Edition 26.5.1以降を入れると、スリープから復帰後にドライバの0 RPMの設定が正常に読み込まれず、負荷が掛かってもファンが動かない問題がある様です。

その状態で負荷をかけ続けると損傷する可能性があるので注意が必要です。


尚、ファン制御の問題が発生するのがスリープ復帰後な訳ですが、26.5.1以降を入れてもスリープ後も問題なくファンが動作する環境もある為、Windowsのシステムの問題、特定モデルのファームの問題、ドライバ自体の問題の可能性がありますが、現状ははっきりしません。

確実にわかっているのは、スリープ復帰後に0 RPMの機能は有効化するが、負荷が掛かってもファンを動作させる命令が実行されないという所です。


Windowsの場合スリープ復帰後にドライバやファームが正常に読み込まれず機能しなくなる問題はよくある話ですが、機能は有効化するが一部機能が正常に動作しない、全モデルではなく特定のモデルで発生するとなると、

元々スリープ復帰時に潜在的に問題が出る制御のファームウェアのボードに、新しい制御のドライバがかちあって症状がでた可能性があるかもしれません。



【現状の対処法】
今回の問題は0 RPMの機能が有効化されている状態でスリープを介すと発生する問題なので、0 RPMかスリープを切る、又は症状が出ないドライバ迄戻せば発生しませんので、以下の様に対処して下さい。


1:ドライバをAdrenalin Edition 26.3.1に
ドライバを差し戻す時はアンインストール後に、セーフモードで起動し、DDUを使ってレジストリまで掃除してからインストールして下さい。

レジストリの設定が残っているとドライバを差し戻しても症状が出る可能性があるので。

後、DDUをかけるとAMD環境の場合チップセットドライバ用の設定も消えるので、チップセットドライバも再インストールを。


2:0 RPMを切る
以下の様に設定を変更して0 RPM自体を切っておけば影響は受けません。

Adrenalinを起動

パフォーマンス

チューニング

チューニングプリセットをカスタム

ファンチューニングを有効

ゼロ RPMを無効

高度な制御を有効

後はグラフで温度に対してファンの回転数を調節したら、変更を適用を押して保存


3:スリープ機能を無効
以下の様にスリープを切って下さい。

Windowsのコントロールパネル

システムとセキュリティ

電源オプション

左の項目のコンピュータがスリープ状態になる時間を変更を選択

スリープを時間から適用しないに変更



今回の問題はスリープ後に症状が出る為使い方によっては略症状が出ませんが、スリープを有効化していると被害が出る可能性があるので、修正が入る迄は0 RPMやスリープを切るか、ドライバをAdrenalin Edition 26.3.1で止めて置く様にして下さい。



このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。




総合情報に戻る

TOPに戻る

| ソフトウェア | 14:00 | comments:0 | trackbacks:0 | TOP↑

≫ EDIT

IntelがCPUの抱き合わせ販売をする

【IntelがCPUの抱き合わせ販売をする】

IntelがノートPC用のCPUで最新のプロセスルールのCPUを買わないと旧プロセスルールのCPUを卸さないという事をやっている事が発覚した様です。



【関連記事】
1:Intel tells PC makers to adopt 18A CPUs or lose their supply, report claims — Intel 7 supply dries up, pressuring notebook and PC manufacturers in the US, China, and Taiwan
2:Intel Strong-Arms PC Partners Into Buying 18A Chips, Forcing Costly Redesigns As Older Node Supply Dries Up



【詳細】
出元が日本経済新聞の英文ニュース記事ですが、Intelが米国、中国、台湾のPCメーカーに対して旧プロセスのIntel 7(10nm)のCPUを卸す条件として、Intel A18(2nm)のCPUも購入する様に迫っていた様です。

IntelはIntel 7(10nm)、Intel 10(14nm)のプロセスの製造をAIやサーバ向けにシフトさせて一般向けの供給量を減らした上でA18(2nm)を売り込んでいる訳ですが、A18は昨年の夏時点で歩留まりが10%程度しかなく、100個作ったとして10個も完動品が無いという状況でした。

現在では改善されて2026年1月時点で40%未満、現在は55%近いという話がありますが、通常70〜80%の良率が収益性のある製品生産のボーダーラインとされているので、現状A18のCPUは不動品の価格が転嫁されて高額になっている状況であり、PCメーカーのIntelへの好意で一部採用されているだけの状況だった訳ですが、

あるPCメーカーの幹部によるとIntel 7のCPUを100個発注を掛けた所、20個のIntel 7のCPUと発注を掛けていないA18のCPUを10個が送られてきた上で、A18のCPUも買わないと発注した残り80個のIntel 7のCPUを他のPCメーカーに廻すと告げてきた様です。

(Intel 7のCPUは恐らくIntel Core processors(13,14世代 Raptor Lakeのリブランド) 例Core 3-100U、Core 7-250U等)

なので、PCメーカーが高額なCPUを採用する事による高額化する為の理由付けの為のPC設計を求められている、と言う話に繋がる訳です。


脆弱性と第13、14世代Core i(Raptor Lake)の問題で大幅にシェアを落としたとはいえ、数字上では5割を超えているので、日本でやると高確率で独占禁止法の抱き合わせ販売になる訳ですが、NEC(PC部門)、富士通(PC部門)に親会社のLenovo経由で影響受けたり、Dellやhp等の米国企業の製品が影響を受ける可能性があるので、

Core Ultra Series 3(Panther Lake)やCore Series 3(Wildcat Lake)搭載モデルが急に増えた場合は抱き合わせ販売の影響だと考えて良いかもしれません。

尚、Intelの役員が決算説明会で、A18のCPUは供給数は十分だが健全な利益率を実現にするには十分ではなく、業界からは2027年までは期待されていないと発言しています。



今後出るPanther LakeとWildcat Lake搭載のPCは暫くよく確認して下さい、価格が高い理由が性能が高いのではなく、CPUの歩留まりの問題で高くなっているだけなので、

用途によっては旧モデルを買った方が良い可能性があります。

高いから良い物という訳ではないので注意が必要です。



このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。




総合情報に戻る

TOPに戻る

| ハードウェア | 13:30 | comments:0 | trackbacks:0 | TOP↑

≫ EDIT

ELECOM製無線LAN(Wifi)ルーターの脆弱性について5

【ELECOM製無線LAN(Wifi)ルーターの脆弱性について5】

2026年2月時点で公開されていたルーターの脆弱性に該当する新たなモデルが追加された様です。

後、新たな脆弱性に該当した情報も出ています。



【関連サイト】
1:無線LANルーターなど一部のネットワーク製品のセキュリティ向上のためのファームウェアアップデート・対策実施のお願い EL41-295
2:無線LANルーターなど一部のネットワーク製品のセキュリティ向上のためのファームウェアアップデート・対策実施のお願い EL42-029

3:JVN#94012927 エレコム無線LAN関連製品における複数の脆弱性
4:JVN#03037325 エレコム製無線LANルーターおよび無線アクセスポイントにおける複数の脆弱性



【脆弱性の内容】
1:クロスサイトリクエストフォージェリ
他のネット上のコンテンツにログインした状態で悪意のある第三者が細工したサイトにアクセスした場合、当該製品に意図しない操作をさせられ、ログインしたコンテンツを害(勝手に送金、アカウント消去等)される。

2:OSコマンドインジェクション
悪意ある第三者がルーターにアクセスした場合、LAN上にあるPCに対して任意のOSコマンドを実行される

尚、telnet(遠隔操作用機能)経由や外部からHTTP経由で命令を受け取るminiigd SOAP(Simple Object Access Protocol)でも任意のOSコマンドを実行される脆弱性も含む

3:脆弱な認証情報の使用
デフォルトで推測出来るパスワードを使用していたり、管理者が変更出来ない固定パスワードを埋め込んである事で、不正アクセスを受ける

4:スタックベースのバッファオーバーフロー
プログラム処理時にローカル変数や関数の引数、戻り番地を一時的に保存するメモリ領域のスタック領域に、想定以上のデータを詰め込む事でデータを溢れさせて隣接するメモリ領域を上書きし、任意の処理を実行される

5:設定ファイルのバックアップにおけるハードコードされた暗号鍵の使用
暗号化する時に暗号化を解除する為のカギが固定化されている為、暗号化キーを変更出来ないので漏れた場合に解除される可能性

6:ping_ip_addrパラメータの処理におけるOSコマンドインジェクション
ルーターが指定されたIPアドレスへpingを送信し、接続先のデータ接続が正常かどうか確認する機能を経由して任意のOSコマンドを実行される

7:特定のURLへのアクセスにおける認証欠如
特定URLへのアクセスが未認証で通ってしまう事を悪用し、特定URLから不正アクセスされる

8:usernameパラメータの処理におけるOSコマンドインジェクション
ルーター上にある機器に認証無しで任意のOSコマンドを実行される

9:hostnameパラメータ処理の不備に起因する格納型クロスサイトスクリプティング
サイトデータを取り込んでブラウザで表示する前に本来可能な行動が出来なくされる

例:偽セキュリティ表示等のフィッシングページを閉じれなくする

10:languageパラメータの検証欠如
言語環境を動的に指定するための設定値の検証が無い時に、細工されたページにアクセスすると、設定画面を操作できなくなる



【対象の機種】
【1、2、3、5対象】
WRC-X1800GS-B Ver.1.21より前
WRC-X1800GSA-B Ver.1.21より前
WRC-X1800GSH-B Ver.1.21より前

WRC-X3000GS2-B Ver.1.12より前
WRC-X3000GS2-W Ver.1.12より前
WRC-X3000GS2A-B Ver.1.12より前
WRC-X3000GST2-B Ver.1.09より前

WRC-XE5400GS-G Ver.1.14より前
WRC-XE5400GSA-G Ver.1.14より前

WRC-X6000QS-G Ver.1.15より前
WRC-X6000QSA-G Ver.1.15より前

WRC-X6000XS-G Ver.1.13より前
WRC-X6000XST-G Ver.1.17より前


【1、2、3対象】
WRC-X1500GS-B Ver.1.13より前
WRC-X1500GSA-B Ver.1.1より前


【4対象】
WAB-S733IW2-PD Ver.5.5.02より前
WAB-S733IW-AC Ver.5.5.02より前
WAB-S300IW2-PD Ver.5.5.02より前
WAB-S300IW-AC Ver.5.5.02より前


【6、7、8対象】
WRC-BE72XSD-B Ver.2.0.2より前
WRC-BE72XSD-BA Ver.2.0.2より前
WRC-BE65QSD-B Ver.2.0.0より前

WRC-W702-B Ver.2.0.0より前


【1、8、10対象】
WAB-BE187-M Ver.2.0.12より前
WAB-BE72-M Ver.2.0.12より前
WAB-BE36-M Ver.2.0.12より前
WAB-BE36-S Ver.2.0.12より前



【対策法】

ファームウェアバージョン確認

基本的にファームウェア(制御ソフト)の更新で修正になるので、自動更新を切っている場合は↑を参考にファームウェアのバージョンを確認して手動で上げて下さい。

一部モデルは専用のダウンロードページがあるので、上の公式の脆弱性のリンクから飛んでダウンロードして下さい。

尚、被害者本人のPCや端末がマルウェアを食らってルーターに接続して攻撃を受ける経路が一番ある事なので、IDやPASSが物理的に知られていないから大丈夫、と言う事はないので注意が必要です。



今回の脆弱性は自動更新設定がされていれば自動的に対処されます。

ファームウェアの更新とPASSの変更で対策は出来ますが、管理用のPC自体がマルウェアに感染すると、管理者がログインした時点で攻撃を食らう可能性があるので、セキュリティ対策はしっかりしておいて下さい。



【関連記事】

ELECOM製無線LAN(Wifi)ルーターの脆弱性について
ELECOM製無線LAN(Wifi)ルーターの脆弱性について2
ELECOM製無線LAN(Wifi)ルーターの脆弱性について3
ELECOM製無線LAN(Wifi)ルーターの脆弱性について4


このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。




総合情報に戻る

TOPに戻る

| ハードウェア | 15:00 | comments:0 | trackbacks:0 | TOP↑


| PAGE-SELECT | NEXT