Akamaiセキュリティインテリジェンス&レスポンスチーム(SIRT)は、Vivotekのレガシーカメラファームウェアに存在する脆弱性CVE-2026-22755を公開した。CVSSスコアは9.3である。この脆弱性は、upload_map.cgiがファイル名を適切にサニタイズせず、ユーザーが提供したファイル名をシステムシェルに直接渡すリモートコマンドインジェクションの欠陥である。
攻撃者は特別に細工されたファイル名を含むファイルをアップロードすることで、root権限でコマンドを実行できる。ファームウェアのpasswdファイル分析により、Vivotekのレガシーカメラにはパスワードが設定されていないことが判明し、この脆弱性は認証を必要としない可能性が高い。
影響を受けるモデルには、FD8365、IB9365、IP9165シリーズなどが含まれる。
From: 
Critical Vivotek Flaw Grants Root Access (CVE-2026-22755)
【編集部解説】
今回のCVE-2026-22755は、IoTデバイスのセキュリティ課題を象徴する典型的な事例です。この脆弱性が特に深刻なのは、認証なしでroot権限を奪取できる点にあります。通常のサイバー攻撃では認証の突破が最初の障壁となりますが、Vivotekのレガシーカメラではパスワードが初期設定されていないため、攻撃者はその障壁すら必要としません。
技術的な仕組みを説明すると、この脆弱性はupload_map.cgiスクリプトにおけるコマンドインジェクションです。ファイルアップロード時、システムはsnprintf()関数でファイル名を含むコマンド文字列を生成し、それをsystem()関数に直接渡します。ファイル名に特殊文字(セミコロン、パイプなど)が含まれていても適切にエスケープされないため、攻撃者は正規のコマンドに続けて任意のシェルコマンドを実行できてしまいます。
影響を受けるモデルは、FD、FE、IB、IP、IT、MA、MS、TBシリーズを含む33以上に及びます。これらはファームウェアバージョン0100aから0125cまでの範囲で、多くがすでにサポート終了(EOL)製品です。監視カメラは一度設置すると10年以上使い続けるケースも珍しくなく、こうしたレガシーデバイスが組織のネットワークに残り続けることがセキュリティリスクを拡大させています。
この脆弱性の悪用には、実は5つの技術的条件を満たす必要があります。ファイルサイズが5MB未満であること、特定のマジックバイトによるファームウェア検証をパスすること、confclientバイナリが特定の値を返すこと、Boaウェブサーバーの特殊な環境変数設定、そしてupload_map.cgiを経由することです。条件は複雑ですが、攻撃者にとって技術的なハードルは決して高くありません。
なぜこの問題が今重要なのか。2025年はIoTボットネットによるDDoS攻撃が記録的な規模に達した年でした。10億台以上のIoTデバイスが脆弱な状態にあり、2025年10月には「Aisuru」ボットネットが20Tbpsという前例のない規模の攻撃を実行しました。また、2025年末にはKimwolfボットネットが200万デバイスに拡大し、企業や政府ネットワークにまで侵入していることが判明しています。
侵害されたカメラは、DDoS攻撃の踏み台だけでなく、内部ネットワークへの侵入口、映像の盗み見、さらには他のIoTデバイスへの感染拡大の起点となり得ます。5G対応IoTデバイスの普及により、わずか50台の感染デバイスで1Tbps級の攻撃が可能になっているという報告もあり、一つの脆弱性が持つ破壊力は年々増大しています。
対策としては、影響を受けるカメラをファイアウォール内に隔離し、信頼できるIPアドレスからのみアクセスを許可することが推奨されます。ネットワーク監視でコマンドインジェクションパターンを検知するIDS/IPSルールの展開も有効です。しかし、EOL製品である以上、ベンダーからのパッチ提供は期待できません。最終的には、セキュリティリスクが許容できない場合、デバイスの更新または撤去を検討する必要があります。
この事案は、IoTセキュリティにおける「技術的負債」の問題を浮き彫りにしています。便利さと長寿命が特徴のIoTデバイスですが、その特性が逆にセキュリティの盲点となっています。未来の技術を報じる私たちにとって、新しいテクノロジーの可能性を伝えると同時に、古い技術が孕むリスクにも目を向け続けることが重要だと考えます。
【用語解説】
CVSSスコア
Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を0.0から10.0の数値で評価する国際標準システムである。9.0以上は「Critical(緊急)」に分類され、即座の対応が求められる。
コマンドインジェクション
アプリケーションが外部入力をシステムコマンドとして実行する際、適切な検証を行わないことで発生する脆弱性である。攻撃者は特殊文字を使って本来意図されていない任意のコマンドを実行できる。
root権限
Unix系システムにおける最高管理者権限である。システムのあらゆる操作が可能となり、セキュリティ設定の変更、ファイルの削除、他のプロセスの制御などが制限なく実行できる。
IoT(Internet of Things)
モノのインターネットと呼ばれ、監視カメラ、スマート家電、産業機器など、従来インターネットに接続されていなかった物理デバイスがネットワークに接続される技術である。
DDoS攻撃
Distributed Denial of Service attackの略で、複数のコンピュータから標的のサーバーに大量のトラフィックを送り付け、正常なサービス提供を妨害する攻撃手法である。
ボットネット
マルウェアに感染した多数のデバイスが攻撃者の指令によって制御され、協調して動作するネットワークである。DDoS攻撃やスパムメール送信などに悪用される。
EOL(End of Life)
製品のサポート終了を意味する。メーカーがセキュリティアップデートやファームウェアの提供を停止した状態を指し、新たな脆弱性が発見されても修正されない。
IDS/IPS
Intrusion Detection System(侵入検知システム)とIntrusion Prevention System(侵入防止システム)の略である。IDSは不正アクセスを検知して警告し、IPSは検知した攻撃を自動的にブロックする。
【参考リンク】
Vivotek公式サイト(外部)
台湾を拠点とするネットワーク監視カメラメーカー。IP監視ソリューション、スマートシティ向け製品など、幅広い監視カメラ製品を提供している。
Akamai公式サイト(外部)
コンテンツ配信ネットワーク(CDN)とクラウドセキュリティのグローバルリーダー。セキュリティインテリジェンス&レスポンスチーム(SIRT)が脆弱性研究を実施。
NVD – CVE-2026-22755詳細ページ(外部)
米国国立標準技術研究所(NIST)が運営する脆弱性データベース。CVE-2026-22755の技術詳細、影響範囲、CVSS評価などの公式情報を掲載。
【参考記事】
CVE-2026-22755: Vivotek IP Camera RCE Vulnerability(外部)
この脆弱性の技術的な詳細と5つの攻撃条件について解説。ファームウェアバージョン0100aから0125cまでが影響を受け、snprintf()とsystem()関数の不適切な使用が原因であることを説明している。
Critical Vivotek Vulnerability Allows Remote Attackers to Inject Arbitrary Code(外部)
FD、FE、IB、IP、IT、MA、MS、TBシリーズを含む33以上のモデルが影響を受けることを報告。攻撃に必要な技術的条件と、ネットワーク隔離やIDS/IPSルールの展開などの対策方法を提示している。
IoT Botnet Linked to Large-scale DDoS Attacks Since the Mid-2010s(外部)
IoTデバイスを標的としたボットネットが2010年代半ばから大規模DDoS攻撃に使用されている実態を報告。脆弱なIoTデバイスがサイバー攻撃インフラの主要な構成要素となっている背景を説明。
Botnet “Aisuru” Launches Record-Breaking 20 Tbps DDoS Attacks Using Global IoT Devices(外部)
2025年10月にAisuruボットネットが史上最大規模の20TbpsのDDoS攻撃を実行したことを報告。グローバルなIoTデバイスを悪用した攻撃の規模拡大を示している。
Kimwolf Botnet Lurking in Corporate, Govt. Networks(外部)
2025年末時点でKimwolfボットネットが200万デバイスに拡大し、企業や政府ネットワークにまで侵入していることを報告。IoT脆弱性が組織に与える実際の脅威を示している。
Reducing Risk Exposure in Legacy Devices By Bridging the Resource Shortage(外部)
レガシーIoTデバイスのセキュリティリスクとリソース不足の問題を論じている。一度設置されると10年以上使い続けられるIoTデバイスの特性が、セキュリティの盲点となっていることを指摘。
【編集部後記】
みなさんのオフィスや施設に、「いつ設置したかわからない」監視カメラはありませんか?便利で頑丈なIoTデバイスだからこそ、設置後は存在を忘れがちです。しかし、その「見えない存在」が、いつの間にか組織全体のセキュリティリスクになっているかもしれません。
今回の脆弱性は対岸の火事ではなく、私たち全員が直面している「技術的負債」の問題です。みなさんの環境では、古いデバイスをどう管理していますか?もしよければ、この機会に一度、ネットワークに接続されているデバイスを棚卸ししてみてはいかがでしょうか。未来の技術を追いかける私たちだからこそ、足元のリスクにも目を向けていきたいですね。
がもたらす「アンテザード・ソサエティ」の衝撃-300x200.png)
