2016.04.23: 再修正。2013年のリンクを紹介していました。
2016.04.23: 4月4日17時付けのINTERNET Watchのリンク追記
2016.04.04 14時: タイトル修正/NEC以外のルーターでも問題発生する旨追記
2016.04.04 13時: 初稿
2016.04.04 14時 追記分
当初「NECのWi-Fiルーター Aterm 多くの機種に脆弱性」という記事タイトルでしたが、タイトルを変更しています。
NEC以外でも、バッファローやIO DATAなど、様々なメーカーの機種でも同じ問題が発生する模様です。
※以下、初出時の情報にあまり手を加えていないため、NECメインの話題になってます。
NECのWi-Fiルーター「Aterm」に脆弱性が発見され、第三者によってルーターの設定変更やルーターの再起動が行われる危険性があることが判明しています。
NECのサポートページでファームウェアや対処方法が公開されていますので、該当機種のユーザーさんは必ず確認をしましょう。
有用リンク
1. 2016年3月30日付けのマイナビニュース
2013年発売の無線LANルータ「Aterm」2機種に脆弱性 | マイナビニュース
- 対象
「Aterm WF800HP」および「Aterm WG300HP」
2. 2016年4月4日付けのINTERNET Watch
無線LANルーター「Aterm」シリーズの複数機種にCSRFの脆弱性 -INTERNET Watch
- 対象
新たに9機種
「W300P」「W500P」「WF300HP2」「WF800HP」「WR8165N」「WF1200HP」「WF1200HP2」「WG1400HP」「WG1800HP2」
の対策済みファームウェアが公開された。 - 「W300P(HC100RCセット品)」「WG1800HP」のファームウェアも4月中旬に公開予定。
4月23日修正: X. 2016年3月19日付けのINTERNET Watch
「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを-INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20130319_592382.html
2013年3月のニュースでしたm(_ _)m
NECのサポートデスク
Aterm製品におけるセキュリティ向上のための対処方法について|サポート技術情報
2016年3月以前に発売開始したAterm製品が対象、との事。
- サポート期間中の機種はファームウェアで対応。
- サポート終了機種ににいてはファームウェアは更新されず、「気を付けて使う」という対処のみの模様。
- また、ファームウェアのアップデート日付を見ると、過去にも同様の問題が発生している事が分かります。
追記: この問題はNECのWi-Fiルーターだけではない
JVN#48135658: 複数のルータ製品におけるクリックジャッキングの脆弱性
(2015年10月公開/随時更新中)
管理画面にログインした状態で悪意のあるサイトにアクセスすると発生する問題は、多くのWi-Fiルーターで発生する模様です。
その他のリンク
2016年3月30日付けのマイナビニュース
2013年発売の無線LANルータ「Aterm」2機種に脆弱性 | マイナビニュース
対象機種は2機種だけ。別問題?
2016年4月3日付けの個人サイトさん
NECのWi-Fiルーター「Atermシリーズ」全機種に脆弱性、サポート終了の機種を安全に使うには? | IPod LOVE
脆弱性回避方法の手順解説が親切。
「Aterm 全機種に脆弱性」という表現に。モバイルガジェット系サイトさんのようなので、WiMAXルーターに絞ったためか?
なにが起きるのか
悪意のある第三者が制作したサイトにアクセスした際、ルーターの設定を変更されたり、再起動されたり、意図しない動作をされる可能性がある。
どういう場合に起きるのか
ルーターの設定画面(クイック設定Web)を開いたまま、別のタブで悪意のあるホームページを開いてしまった場合に発生する。
対処方法1
ファームウェアが公開されている機種の場合
・ただちにアップデートを行う。
・管理者パスワードの設定を行う。
対処方法2
ファームウェアが公開されていない古い機種の場合
・ブラウザにSafariは使わない。またはBASIC認証情報を削除する。
・管理者パスワードの設定を行う。
・ルーターの設定画面(クイック設定Web)を開く時は、別タブを開かない。
・ルーターの設定操作が終了したら、ブラウザを再起動する。それまで他サイトにアクセスしない。
もっと詳しく
管理者パスワードの設定やファームウェアのアップデート方法など、詳細はNECのサポートページで
Aterm製品におけるセキュリティ向上のための対処方法について|サポート技術情報