三菱電機製複数の家電製品におけるハードコードされた認証情報の使用に関する脆弱性
この発表の要点
- 三菱電機製複数の家電製品に、ハードコードされた認証情報を使用する脆弱性が存在します。
- この脆弱性により、第三者がWi-Fi経由で製品にアクセスし、機器データの取得や設定変更、DoS攻撃を行う可能性があります。
- 対策として、対策済みバージョンへのアップデートまたはワークアラウンドの実施が推奨されています。
企業・自治体への影響
三菱電機製の家電製品を導入している企業や施設(例: オフィス、ホテル、病院、工場など)は、対象製品の利用状況を確認し、情報漏えいやサービス運用妨害のリスクを評価する必要があります。特に、Wi-Fi通信を有効にしたまま未接続の製品や、工場出荷状態に戻したままの製品は影響を受ける可能性があります。
対応すべきこと
- 公式出典(三菱電機ウェブサイト等)で、自社が使用している製品が影響対象に含まれるか確認する。
- 影響対象製品を使用している場合、開発者が提供する対策済みバージョンへのアップデートを速やかに実施する。
- アップデートが困難な場合は、開発者が推奨するワークアラウンド(軽減策)を適用する。
- 本脆弱性に関する情報を関係部門(IT部門、施設管理部門など)へ共有し、対応状況を管理する。
対応優先度: 高 外部からの不正アクセスにより情報漏えい、設定改ざん、サービス運用妨害(DoS)が発生する可能性があり、速やかな対応が求められるため。
対象部門: 経営者 情シス 広報 総務
対応期限:速やかに確認
基本データ
| 企業・団体 | JVN |
|---|---|
| 業界 | 家電製造 |
| 発表日 | 2026-06-15 |
| 分類 | サイバーセキュリティ |
発表された内容
公開日:2026/06/15 最終更新日:2026/06/15
JVNVU#99620284
三菱電機製複数の家電製品におけるハードコードされた認証情報の使用に関する脆弱性
三菱電機製複数の家電製品には、ハードコードされた認証情報の使用に関する脆弱性が存在します。
影響を受ける製品および型番・バージョンは広範囲に及びます。
詳細については、開発者が提供する情報を確認してください。
ルームエアコン
ルームエアコン向け無線LANアダプター
パッケージエアコン向け無線LANアダプター
冷蔵庫
ヒートポンプ給湯機・HEMS対応アダプター、無線LANアダプター
バス乾燥・暖房・換気システム
エアフロー換気システム、ヒートポンプ式冷温水システム、換気・冷暖房システム エアリゾート用アダプター
ロスナイセントラル換気システム
換気扇用・ロスナイ用スマートスイッチ
IHクッキングヒーター
炊飯器
三菱電機製複数の家電製品には、ハードコードされた認証情報の使用に関する脆弱性(CWE-798、CVE-2026-5667)が存在します。
該当製品のWi-Fi電波が届く範囲にいる第三者によって製品にハードコードされた固定のSSIDと固定のパスワードを使用し製品にアクセスされることで、運転状態や室内設定温度、室内温度の機器データなどを取得、エアコンやWi-Fi通信の設定を変更されたり、Wi-Fi通信をサービス運用妨害(DoS)状態にされたりする可能性があります。
影響を受ける条件:
製品のWi‑Fi通信を有効にした状態で、購入後に一度もWi‑Fiルーターへ接続していない場合
工場出荷時の状態に戻した後、再設定せずに放置している場合
アップデートする
対策済みバージョンが提供されている製品に関しては、アップデートしてください。
対策済みバージョンや対策方法に関する詳細については、開発者が提供する情報を確認してください。
ワークアラウンドを実施する
対策済みバージョンにアップデートするまでの間は、軽減策の適用が推奨されています。
詳しくは、開発者が提供する情報を確認してください。
ベンダ
リンク
三菱電機株式会社
複数の家電製品における情報漏えい、情報改ざん・削除・破壊及び サービス拒否(DoS)の脆弱性
この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia
Copyright (c) 2000-2026 JPCERT/CC and IPA. All rights reserved.
出典: JVN 脆弱性情報
URL: https://jvn.jp/vu/JVNVU99620284/
時系列
- 2026-06-15 JVNにて三菱電機製複数の家電製品におけるハードコードされた認証情報の使用に関する脆弱性が公開された。
この事例から確認すべきポイント
この脆弱性情報は、三菱電機製家電製品におけるセキュリティリスクの重要性を示しています。ハードコードされた認証情報(固定のSSIDとパスワード)が製品に存在することで、Wi-Fi通信範囲内の第三者による不正アクセスが可能となり、機器データの取得、設定変更、さらにはサービス運用妨害(DoS)に至る可能性があります。特に、製品がWi-Fi通信を有効にした状態で一度もルーターに接続されていない場合や、工場出荷状態に戻した後に再設定されていない場合に影響を受けると明記されており、これらの条件に該当する製品利用者は速やかな対応が求められます。企業としては、自社製品に同様の脆弱性が存在しないか、またサプライチェーンを通じて導入している機器に既知の脆弱性がないかを確認する重要性が再認識されます。また、脆弱性発覚時の情報公開プロセスや、利用者への具体的な対策提示(アップデート、ワークアラウンド)の迅速性・明確性も、危機管理広報の観点から重要な教訓となります。現時点で取得できた本文からは、対策済みバージョンやワークアラウンドの詳細を確認できませんでした。詳細は公式出典をご確認ください。
公式出典
更新履歴
公開日: 2026-06-15
関連事例
- 三菱電機製MELSEC iQ-FシリーズのFX5-EIPおよびFX5-ENET/IPにおける脆弱性
- Vendor-signed UEFIアプリケーションにおけるセキュアブートバイパスの脆弱性
- SignalRGBカーネルドライバにおける不適切なアクセス制御およびIOCTLの脆弱性
- RadiX AX6600 WiFi 6 Tri-Band Gaming RouterにおけるOSコマンドインジェクションの脆弱性
- Weekly Report: 複数のSplunk製品に脆弱性
自社のプレスリリースをPRazeに掲載しませんか?
PRazeを見る