會原 
認証なしで管理者パスワードが推測可能に。
JVNは3月25日、シャープ製ルーター計8機種に「重要な機能に対する認証の欠如」の脆弱性が存在すると公表しました。CVE番号はCVE-2026-32326、CVSS v3.0基本値は5.7、CVSS v4.0基本値は6.9です。
CVSSとは、脆弱性の深刻さを0から10の数値で表す国際的なスコアリング指標です。今回のスコアは5.7〜6.9で、中程度のリスクに分類されます。
問題の核心は、ルーターのweb APIの一部を認証なしに使用可能な点です。これらのweb APIでは当該機器に関する情報を提供しており、管理者パスワードは当該機器に関する情報に基づいて初期設定されています。このため、当該機器に関する情報を認証なしに取得される可能性があり、管理者パスワードを初期設定のまま使用している場合は、当該機器が不正アクセスを受ける可能性があります。
影響を受ける機種はNTTドコモ、ソフトバンク、KDDIの3キャリアにまたがります。
| キャリア | 機種名 | 影響を受けるバージョン |
|---|---|---|
| NTTドコモ | home 5G HR01 | 38JP_0_490 以前 |
| NTTドコモ | home 5G HR02 | S5.A1.00 以前 |
| NTTドコモ | Wi-Fi STATION SH-52A | 38JP_2_03J 以前(サポート終了) |
| NTTドコモ | Wi-Fi STATION SH-52B | S3.87.15 以前 |
| NTTドコモ | Wi-Fi STATION SH-54C | S6.64.00 以前 |
| ソフトバンク | 5Gモバイルルーター SH-U01 | S4.48.00 以前 |
| ソフトバンク | Pocket WiFi 5G A503SH | S7.41.00 以前 |
| KDDI | Speed Wi-Fi 5G X01 | 3RJP_2_03I 以前(サポート終了) |
対策はファームウェアを最新版にアップデートすることです。ただし、Wi-Fi STATION SH-52AとSpeed Wi-Fi 5G X01の2機種はサポートが終了しており、アップデートの提供はありません。これらの機種を使い続ける場合は、管理者パスワードを初期値から変更してください。
