NEC「Aterm」製品に、大規模な脆弱性……サイト閲覧で強制操作

IT・デジタルセキュリティ

注目記事

2016.4.5（火）11:46

　日本電気（NEC）の無線LAN・モバイル製品「Aterm」について、2016年3月以前に発売開始した全製品に脆弱性があることが明らかとなった。同社の「Aterm」の公式サポートで詳細が発表され、すでにネットの一部でも話題となっている。

　この脆弱性は、「クロスサイトリクエストフォージェリ」（CSRF）と呼ばれるもので、悪意のあるサイトにアクセスした場合、対象製品の設定が変更されたり、製品が再起動されたり、意図しない動作を引き起こせるというものだ。

　3月30日にサポートサイトに掲載された「Aterm製品におけるセキュリティ向上のための対処方法について」によると、3月以前に発売開始した全製品が対象とのこと。「MR03LN」「MR04LN」「WM3800R」「WG2600HP」の4製品のみ対処済みで、そのほかの全製品が該当する模様。

　「設定が変更されるだけなら……」と軽く考えがちだが、ルーターの設定を変更された場合、正規サイトにアクセスしているつもりで、実際には偽の不正サイトに誘導され、個人情報を詐取されるといったケースが考えられる。すでに、こうした攻撃も実際に発生している。

　ファームウェアのアップデートを行うことで大部分の製品は対処可能だ。一方で、対応ファームウェアが提供されていない製品については、「クイック設定Webを開いた場合は、設定終了後にブラウザを必ずすべて閉じること」を呼びかけている。ようは「不正サイトを開いたときに、同時に、Aterm製品の『クイック設定Web』を開く」ことが問題となることが分かる。あわせて、認証情報を保存している場合は、認証情報を削除しておくことも推奨されている。

　なお脆弱性対策情報ポータルサイト「JVN」でも、3月30日に「Aterm WF800HP」「Aterm WG300HP」の2製品について、脆弱性が報告されている。

《赤坂薫》