EoLのD‑Link DSLルーターに未認証RCE、実悪用が進行中——SOHO/拠点の踏み台化をいま止めるべきです

今日の深掘りポイント

• 旧型のD‑Link DSLルーターに未認証で到達できるコマンドインジェクション（CVE‑2026‑0625）が確認され、実際の悪用が観測されています。EoLのため恒久パッチを原則期待できず、置換前提で考えるべきです。
• 攻撃はDNS設定用CGIの入力不備を突くため、管理者認証の有無やパスワード強度とは無関係に成立します。WAN側からの管理アクセス遮断と即時隔離が初動の要です。
• SOHOや拠点のCPEに偏在するため、ボットネット化によるDDoS・DNS改ざん・プロキシ化など、上流インフラや事業継続に直結するリスクが現実的です（仮説としての脅威シナリオを後述します）。
• モデル差分とEoLゆえに資産特定が難しい前提で、MSP/ISPと連携した「在庫棚卸し→一括置換→WAN管理閉塞」の運用計画が求められます。
• 本件は「緊急度」と「行動可能性」が突出するタイプです。短期での封じ込めと、中期のEoL機器廃止を両輪で進めることが現場にとって最善です。

はじめに

年明け早々、見過ごしがちな長尾リスクが表面化しました。2016〜2019年製のレガシーD‑Link DSLルーターに、未認証のリモートコード実行（RCE）を許す脆弱性（CVE‑2026‑0625）が見つかり、既に悪用が確認されています。問題はDNS設定のCGIにおける不適切な入力サニタイズで、攻撃者は認証なしに任意コマンドを注入できます。対象はDSL‑2740R、DSL‑2640B、DSL‑2780B、DSL‑526BなどEoL機種で、ベンダは悪用実態と影響モデルの追加特定に動いている段階です。

本稿では、現時点で確認できる事実を整理しつつ、EoL機器の「置換前提の危機対応」という観点で、CISO・SOC・TIの皆さんに必要な意思決定と初動・中期施策をまとめます。詳細は公開情報に基づき、推測が含まれる箇所はその旨を明示します。

参考: The Hacker Newsの報道に基づく要点整理です。一次情報が公開され次第、追補すべきです。

深掘り詳細

事実関係（確認できた点）

• 脆弱性はCVE‑2026‑0625として追跡され、CVSSは重大（9.3）と報じられています。未認証のリモート攻撃者がDNS設定パラメータの不備を突き、任意コマンドを実行できる設計不備です。対象エンドポイントはdnscfg.cgiとされています。The Hacker News
• 悪用は既に観測段階で、流通機種は2016〜2019年製のレガシーDSLシリーズ（DSL‑2740R、DSL‑2640B、DSL‑2780B、DSL‑526Bほか）。いずれもEoLで、恒常的な修正提供は期待薄です。The Hacker News
• ベンダは悪用事実の内部調査と影響モデルの特定を進めていますが、ファームの派生差分が多く、型番単位での切り分けに難航しているとされています。The Hacker News

現時点で一次の技術アドバイザリやIoCは限定的で、検知・封じ込めは原理ベースの対策が中心になります。一次情報が出次第、検知シグネチャや禁止リストの更新を速やかに行うべきです。

編集部のインサイト（仮説を含む）

• 未認証RCEという性質上、「強いパスワード」「2FA」などの汎用施策は無効化されます。実害を止めるのはネットワーク面の遮断（WAN→管理面の閉塞、機器隔離）と機器置換だけです。ここが本件の厳しさで、設定チューニングでは根本解決できません。
• EoL CPEの長尾が想像以上に長いことが想定されます。とりわけ拠点・SOHO・一部産業施設でDSL回線が続いている環境では、運用期限切れのCPEが「資産リスト外」で残存していることが珍しくありません。棚卸しと代替機の一括調達を、セキュリティ主導で引っ張る瞬間です。
• 攻撃者の狙いは、ボットネット用の踏み台確保（DDoS、プロキシ）と、DNS設定改ざんを通じたトラフィック誘導が筆頭と見ます（仮説）。CPE側で永続化（起動スクリプト改変、NVRAM書き換え）を狙う動きも想定すべきです。
• ベンダの影響モデル特定が難航している点は、現場にとって「脆弱なものだけをピンポイント交換する」アプローチの成立可能性を下げます。結果として「シリーズごと／世代ごとの丸ごと置換」を前提に予算・調達・訪問作業計画を引き直す方が、総コストと時間で優位になるケースが多いです。

脅威シナリオと影響

以下はMITRE ATT&CKフレームワークに沿った仮説の脅威シナリオです。現時点の公開情報からの推定であり、一次情報の更新に応じて見直す前提です。

• シナリオA: 大規模スキャンからのボットネット編入（DDoS加担）

  • 偵察: T1595（アクティブスキャン）、T1046（ネットワークサービス探索）
  • 初期アクセス: T1190（公開アプリケーションの脆弱性悪用）— 未認証でdnscfg.cgiに注入
  • 実行: T1059.004（Unixシェル）
  • 永続化（仮説）: T1547（自動起動の設定改変）— 起動スクリプトやNVRAMへの書き込み
  • C2: T1071（アプリケーション層プロトコル）, T1105（ツール/ペイロード受け渡し）
  • 目的: T1498（ネットワークDoS）
  • 影響: 回線事業者・CDN・自社外向けサービスへの輻輳、拠点業務の断続的停止です。

• シナリオB: DNS設定改ざんによるトラフィック誘導

  • 初期アクセス/実行は上記と同様
  • 権限悪用/設定変更: T1565（データ操作）— DNS設定を書き換え（仮説）
  • 目的: 認証情報搾取やマルウェア配布サイトへの誘導
  • 影響: MTA/MTA-STS、更新サーバ、SaaSの名前解決が汚染され、不可解な接続失敗やサプライチェーン上の迂回が発生します。

• シナリオC: プロキシ化・ピボット

  • 実行/永続化は上記と同様
  • 防御回避/横展開（仮説）: T1090（プロキシ）, T1021（リモートサービス）
  • 目的: 内部ネットワークの探索・中間者化
  • 影響: 監視の盲点化により、他インシデントのトリアージが難化します。

総じて、緊急度・即応性の面で優先度が高く、既存の境界防御やパスワード運用では止められない類型です。一方で、行動指針は明確で、遮断・棚卸し・置換という現場で動ける対策に落ちます。この「意思決定のしやすさ」が、逆に対応の遅延を生みやすい領域でもあります。可視化とガバナンスで一気呵成に進めるべきです。

セキュリティ担当者のアクション

時間軸で優先度を分けて整理します。EoLのため恒久パッチは想定せず、置換・閉塞・監視で守り切る前提です。

• 今日〜48時間（初動）

  • 対象シリーズの即時棚卸し
    • 資産DB、購買履歴、現地ベンダ記録、NAC/Passive-DNS/NetFlowから候補抽出です。
    • DHCPフィンガープリントやHTTPバナーの機種名ヒットでの消し込みを併用します。
  • WAN側からの管理面閉塞
    • ルーター自体の「リモート管理」を全拠点で一律無効化します。
    • 上位FW/ACLでCPE向けの80/443/7547等の管理系到達を遮断します（7547はTR‑069用。利用有無は各社方針で要確認です）。
  • 可視化・監視の即席強化
    • 外部→CPEへのHTTP(S)で/dnscfg.cgiに対するアクセス痕をWAF/プロキシ/上位FWログから横断的に探索します。
    • CPEからの異常外向き通信（急増するUDP/TCPフラッド特性のトラフィック、未知のC2宛てHTTP(S)）をNDR/フローで監視します。
  • 影響の切り分け
    • DNS設定が意図せず変更されていないか、代表拠点からスポットチェックします。

• 1〜2週間（封じ込めと置換計画）

  • 一括置換の計画化
    • 対象シリーズは個別パッチ待ちをせず、世代単位での置換を原則とします。
    • サプライチェーン（調達・配送・現地作業）を一体管理し、事業影響最小での切替ウィンドウを設計します。
  • 一時的ハードニング（置換前の延命策）
    • 管理UIをLAN専用に限定、不要サービス停止、管理サブネットからのみ到達可能とするACLを徹底します。
    • 設定スナップショットの保存と、再起動時の設定整合性チェック手順を文書化します。
  • MSP/ISP連携
    • 受託管理先の在庫・拠点リストを統合し、一括連絡と訪問スケジュールを引きます。

• 30〜90日（再発防止の仕組み化）

  • EoLガバナンス
    • 「EoLネットワーク機器は本番禁止」「例外はCISO承認・期間限定・隔離セグメント配置」をポリシー化します。
  • 継続的可視化
    • CPEベンダ/型番/ファームのSBOM的可視化を資産台帳に取り込み、更新期限のアラートを自動化します。
  • 監視ルールの恒常化
    • ルータ系の「設定系CGIへの外部到達」「CPEからの異常フロー」「TR‑069の露出」など、長尾攻撃に効く常設検知をNDR/SIEMに定義します。
  • バイヤーズガイドの刷新
    • 次期CPE選定では、ベンダのサポート年限、セキュリティ勧告の公開品質、遠隔アップデートの信頼性を評価軸に加えます。

最後に、今回のスコアリングからは緊急性と即応性の高さ、実際に起こり得る蓋然性の高さが読み取れます。一方で「ポジティブ度」が低いのは、EoL・未認証RCEという条件が現場に痛みを伴う判断（置換・停止）を要求するからに他なりません。だからこそ、実務で動ける具体策に分解し、関係部門と同じ地図を見ながら進めることが肝要です。今回の対応が、そのまま「長尾のIoT/CPEを攻める波」に対する組織耐性の底上げにつながります。

参考情報

• The Hacker News: Active Exploitation Hits Legacy D‑Link DSL Routers via Critical RCE Flaw (CVE‑2026‑0625) https://thehackernews.com/2026/01/active-exploitation-hits-legacy-d-link.html

本稿は公開時点の情報に基づく分析です。一次アドバイザリやIoCが公開され次第、検知・封じ込め手順をアップデートします。読者の皆さんの現場に少しでも役立つ道しるべになれば幸いです。