TP-Link、認証バイパスの重大な脆弱性にパッチ（CVE-2025-15517他）

TP-Link、ルーター認証バイパスの重大な脆弱性にパッチ適用（CVE-2025-15517、CVE-2025-15605他）

BleepingComputer – March 25, 2026

TP-Linkのワイヤレスルーター「Archer NX」シリーズに存在する複数の脆弱性が修正された。これには攻撃者が認証をバイパスし、新しいファームウェアをアップロードできる重大なバグが含まれている。

CVE-2025-15517として追跡されているこの脆弱性は、HTTPサーバーにおいて特定のCGIエンドポイントに対する認証チェックの不備に起因するもの。Archer NX200、NX210、NX500、NX600に影響を与え、認証済みユーザー向けのアクセスが認証なしで行われる可能性があると説明された。

さらにTP-Linkは、設定メカニズムにハードコードされていた暗号鍵（CVE-2025-15605）を削除した。この欠陥により、認証済みの攻撃者は設定ファイルを復号、改変、再暗号化することが可能だったという。

そのほかにも、管理者権限を持つ攻撃者が任意のコマンドを実行できる2件のコマンドインジェクション脆弱性（CVE-2025-15518、CVE-2025-15519）にパッチが適用された。なお、現時点で米CISAのKEVカタログ（悪用が確認済みの脆弱性カタログ）にはTP-Linkの脆弱性が6件掲載されており、その中では複数のArcherデバイスに影響を与えるディレクトリトラバーサルの脆弱性（CVE-2015-3035）が最も古い。

同じくルーターの安全性に関する話題として、今年2月にTP-Link Systemが「チャイナリスク」で米テキサス州に訴えられたほか、数日前には米連邦通信委員会（FCC）が「国家安全保障に対する容認できないリスク」を理由に国外製造の新型ルーターの販売を禁止している。

有罪判決受けたIntellexa創設者、複数の電話盗聴にギリシャ政府が関与していたと示唆

TechCrunch – March 25, 2026

スパイウェア開発会社Intellexaの創設者Tal Dilian被告は、ギリシャ司法が下した有罪判決に対して控訴する意向を示した。同被告は幹部3人と共にギリシャ国内で実行された大規模な盗聴に関与し、個人情報を不正に入手したとして罪を問われている。

「ギリシャ版ウォーターゲート」とも呼ばれるこの盗聴騒動は、Intellexaのスパイウェア「Predator」を使って政府高官や野党指導者、軍関係者、ジャーナリストなど数十人の携帯電話をハッキングしたとされる事件だ。PredatorにはiPhoneやAndroid端末に侵入して通話履歴、テキストメッセージ、Eメール、位置情報などを盗み出せる機能があり、通常は標的を騙して有害なリンクをクリックさせることでこれらの情報を入手する。

この事件が明らかになった後、ギリシャ国家諜報機関の長官や首相側近など多くの高官が辞任したほか、Dilian被告も今年2月に拘禁8年の判決を言い渡されていた。しかし、同事件に関連して有罪判決を受けた政府関係者はおらず、政権による隠蔽工作への批判が高まる中、25日には「スケープゴートにはならない」というDilian被告のコメントをロイター通信が報じた。

「証拠のない有罪判決は正義ではなく、隠蔽工作の一部であり、犯罪行為にさえなり得る」と語ったDilian被告は、国内外の規制当局に証拠を提供する用意があると発言。Predatorのような監視技術は通常、政府機関にのみ販売され、政府はそれらを合法的に使用する責任を負っていると主張した。

なお、米政府は2024年にPredatorが米当局者やジャーナリストの携帯電話に使用されていたことを突き止め、Dilian被告を制裁対象者に指定している。

【Eブック無料配布中：Codebook 2025 ~サイバーセキュリティ分析レポート~】

Codebookの記事が、Eブックになりました。サイバーセキュリティの2025年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらから：

その他の無料配布中レポート

地政学レポート

【最新版】インテリジェンス要件定義に関するガイドブック

OSINT関連レポート

ディープ＆ダークウェブレポート