ASUS AiCloudルーターに重大脆弱性、CVSSスコア9.2の高リスク – 早急なファームウェア更新を

2025年4月20日7:42

サイバーセキュリティニュース

ASUS AiCloudルーターに重大脆弱性、CVSSスコア9.2の高リスク - 早急なファームウェア更新を - innovaTopia - （イノベトピア）

Last Updated on 2025-04-20 07:43 by admin

ASUSは2025年4月18日、同社のAiCloud機能が有効になっているルーターに影響を与える重大なセキュリティ脆弱性を公表しました。この脆弱性（CVE-2025-2492）は、リモートからの攻撃者が認証をバイパスし、脆弱なデバイスで不正に機能を実行することを可能にするものです。

この脆弱性はCVSSv4スコアで9.2点（最大10.0点中）という「Critical（緊急）」レベルの評価を受けており、特別に細工されたリクエストによって引き起こされます。ASUSによれば、「特定のASUSルーターファームウェアシリーズには不適切な認証制御の脆弱性が存在する」とのことです。

影響を受けるのは、AiCloudが有効になっている広範囲のASUSルーターモデルで、同社は以下のファームウェアブランチに対する修正版をリリースしました：

3.0.0.4_382シリーズ
3.0.0.4_386シリーズ
3.0.0.4_388シリーズ
3.0.0.6_102シリーズ

なお、類似の脆弱性（CVE-2024-12912）については、情報通信研究機構（NICT）の観測によると、2025年2月下旬以降に攻撃活動が活発化し、世界で約2,500台、日本国内でも約100台のASUS製WiFiルーターが外部からの攻撃により不正に利用される被害を受けていることが確認されています。

ASUSは、ユーザーに対して以下の対策を推奨しています

ルーターファームウェアを最新バージョンに更新する
無線ネットワークとルーター管理ページに異なるパスワードを使用する（10文字以上で大文字、数字、記号を含む）
複数のデバイスやサービスに同じパスワードを使用しない
連続した数字や文字を含むパスワードを使用しない

即時の更新が不可能な場合や、サポート終了（EoL）に達しているルーターについては、以下の対策が推奨されています

AiCloudを無効にする
WANからのリモートアクセス、ポートフォワーディング、DDNS、VPNサーバー、DMZ、ポートトリガリング、FTPなど、インターネットからアクセス可能なサービスを無効にする

NICTの調査によれば、日本国内で販売されていた一部の製品（RT-N56U、RT-AC56S、RT-AC1200HP、RT-AC3200、RT-AC85U、RT-AC87U、BRT-AC828、ZenWiFi AC (CT8)など）はすでに製品サポート終了となっており、最新のファームウェアでも脆弱性に対する修正が提供されていない場合があります。

from:ASUS Confirms Critical Flaw in AiCloud Routers; Users Urged to Update Firmware

【編集部解説】

ASUSが公表したAiCloud機能の脆弱性（CVE-2025-2492）は、ネットワークセキュリティの観点から非常に重大な問題です。CVSSv4スコア9.2という数値は、この脆弱性が「緊急（Critical）」レベルであることを示しており、早急な対応が求められています。

この脆弱性の特徴は「認証バイパス」にあります。通常、ルーターの管理機能にアクセスするには正しいパスワードによる認証が必要ですが、この脆弱性を悪用すると、攻撃者は認証プロセスを迂回し、権限なしに機能を実行できてしまいます。BleepingComputerの報道によれば、特別に細工されたリクエストを送信するだけで、リモートから認証なしで攻撃が可能とのことです。

AiCloudは、ASUSルーターをミニプライベートクラウドサーバーとして機能させる便利な機能です。USBドライブに保存されたファイルへのリモートアクセスやメディアのストリーミング、ファイル共有などが可能になります。しかし、この利便性が今回のセキュリティリスクにつながっている点は皮肉と言えるでしょう。

特に注目すべきは、この脆弱性が「リモートから」「認証なしで」攻撃可能という点です。つまり、インターネット上のどこからでも、技術的な知識を持った攻撃者がターゲットにできるということです。これは家庭内のプライバシーやデータセキュリティに直接関わる問題といえます。

ASUSのルーターは日本国内でも広く使用されており、特にゲーマーや技術愛好家の間で人気があります。そのため、国内でも多くのユーザーが影響を受ける可能性があります。

現時点では、今回の脆弱性（CVE-2025-2492）を悪用した攻撃の報告はないようですが、こうした脆弱性は公表後に急速に悪用されるケースが多いため、油断はできません。実際、類似の脆弱性（CVE-2024-12912）では、NICTの観測によると2025年2月下旬以降に攻撃活動が活発化し、世界中で被害が報告されています。

対策としては、ASUSが提供する最新のファームウェアへの更新が最も効果的です。しかし、NICTの調査によれば、すでにサポート終了（EoL）となっている古いモデルでは、ファームウェア更新が提供されない可能性もあります。そのような場合は、AiCloud機能を無効にし、インターネットからアクセス可能なサービスをすべて無効にするという対応が推奨されています。

この事例は、IoT機器のセキュリティ管理の重要性を改めて示しています。便利な機能を追加すればするほど、攻撃の入り口も増えるというジレンマがあります。特にルーターは家庭内ネットワークの入り口であり、ここが破られると内部のすべてのデバイスが危険にさらされる可能性があります。

テレワークの普及により、家庭内ネットワークの重要性はますます高まっています。業務データを扱うことも増え、ホームネットワークのセキュリティは個人の問題を超えて、企業セキュリティの一部となりつつあります。

今回の脆弱性対応を機に、ご家庭のネットワーク機器の管理方法を見直してみてはいかがでしょうか。定期的なファームウェア更新の習慣化、不要なリモートアクセス機能の無効化、強力なパスワードの設定など、基本的な対策でもセキュリティレベルは大きく向上します。

【用語解説】

AiCloud：
ASUSが提供するクラウドサービス機能で、ルーターに接続したUSBストレージ内のファイルにインターネット経由でリモートアクセスできるようにするもの。BleepingComputerによれば、ルーターをミニプライベートクラウドサーバーに変え、ファイルへのリモートアクセス、メディアストリーミング、ファイル共有などを可能にする機能である。

CVE（Common Vulnerabilities and Exposures）：
共通脆弱性識別子。セキュリティ上の脆弱性に付与される固有の識別番号で、CVE-2025-2492のような形式で表記される。

CVSSスコア：
Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を数値化したもの。今回はCVSSv4スコアとして9.2が付けられている。0.0〜10.0の範囲で評価され、7.0以上は「重大」、9.0以上は「緊急」とされる。今回の9.2という数値は非常に危険なレベルを示している。

認証バイパス：
本来なら正しいユーザー名とパスワードが必要な認証プロセスを迂回して、不正にシステムにアクセスする手法。

ファームウェア：
ハードウェアに組み込まれたソフトウェア。ルーターの基本的な動作を制御するプログラムで、定期的に更新することでセキュリティ向上や機能追加が行われる。

EoL（End of Life）：
製品のサポート終了を意味する。メーカーによるファームウェア更新やセキュリティパッチの提供が終了した状態。

【参考リンク】

ASUS公式サイト（外部）
ASUSの製品情報、サポート情報、ドライバーやファームウェアのダウンロードが可能な公式サイト。

AiCloud設定ガイド（外部）
ASUSルーターでAiCloudのCloud Disk機能を設定する方法を解説したページ。

【編集部後記】

みなさん、自宅のネットワーク環境を最後に見直したのはいつでしょうか？ルーターは「設定したら忘れる」機器になりがちですが、今回のASUSの事例のように、セキュリティリスクは常に進化しています。週末のひとときに、ルーターの管理画面を開いてファームウェアのバージョンを確認してみませんか？また、AiCloudのような便利な機能も、本当に必要かどうか再考する良い機会かもしれません。デジタルライフの入り口を守ることで、オンライン体験はより安全で快適になります。みなさんのホームネットワーク対策、ぜひ教えてください。