株式会社ユーエヌ<NTT東日本・西日本代理店 代理店コード:1001060509>東京都港区西新橋3-13-7 MG,愛宕ビルディング9階
ロゴ
NTT東日本・西日本お申込みサイト

電話からのお申込み・お問合せはこちらどうぞ

0120-907-404

[通話無料] 受付時間:9:00~19:00(日曜日除く)

つながりにくい
場合はコチラ

折り返し予約

Webからは24時間受付中

カンタンお申込み

株式会社ユーエヌ
<NTT東日本・西日本代理店 代理店コード:1001060509>
東京都港区西新橋3-13-7 MG,愛宕ビルディング9階

ひかり電話契約者は注意!NTTのモデム・ルーターに脆弱性発見

2019年7月1日 特集コラム, コラム, 光回線
キャンペーン詳細はページはこちら

2019年6月、NTTのひかり電話契約者向けに配布されている「光電話ルーター」OSコマンドインジェクションとクロスサイトリクエストフォージェリの脆弱性が発見されました。

ひかり電話契約者は最新版ファームウェアに更新することが推奨されています。

以下のONUを使用している人は要注意!

今回脆弱性が発見されたひかり電話ルーターは、具体的な機種名は以下の通りです。

ひかり電話ルーターの機種名は、ルーターの全面下部に記載されているため、お使いの機種が上記に該当しないかどうかを確認してみてください。

ファームウェアを最新版に更新する

上記のひかり電話ルーターの機種に該当する場合は、現時点でのファームウェアは脆弱性を持っているため、最新のバージョンに引き上げる必要があります。以下では、ファームウェアのバージョンの確認方法をご紹介しておきます。

1. ブラウザを立ち上げ、Web設定画面に接続する

パソコンでInternet ExplorerやGoogle Chromeなどのブラウザを立ち上げ、URL入力欄に下記のどちらかを入力します。

<h3>2.  ログインする</h3>

次に認証画面が出てくるので、以下を入力してログインします。

<h3>3.  画面左上もしくは中央に記載されているバージョンを確認する</h3>

ファームウェアのバージョンによって、現在ご使用中のバージョンが出てくる位置が異なりますが、以下の表記を確認します。

今回発見された脆弱性は、ファームウェアのバージョンがVer.07.00.1005以下のものであれば影響を受けます。基本的にファームウェアは特に設定をいじっていなければ自動更新されますが、念の為確認しておくと良いでしょう。

どのような脆弱性なのか?

今回発見された脆弱性は2種類です。一つはOSコマンドインジェクション、もう一つはクロスサイトリクエストフォージェリと呼ばれるもの。それぞれどのようなものなのでしょうか?

OSコマンドインジェクション

OSコマンドインジェクションは、ユーザーからデータや数値の入力を受け付けるWebサイトなどにおいて、パラメーターにOSへの命令文を紛れ込ませて、悪意ある情報の操作や改ざん、データの削除などが行われるというものです。

OSとは、コンピューターにおいて基本的な動作を実行する、要は頭脳のようなものですが、これが悪意ある操作をされることによって、例えばメールが勝手に送信されたり、データが改ざんされたりします。

過去にテレビ局では、OSコマンドインジェクションによってあるキャンペーンに応募した43万件の個人情報を漏えいさせることにもなりました。

今回の脆弱性は、ひかり電話ルーターに対するOSコマンドインジェクションであるため、例えば勝手に電話を発信したり、電話の内容を盗聴されたりする可能性もあります。

<h3>クロスサイトリクエストフォージェリ</h3>

クロスサイトリクエストフォージェリとは、CSRF、あるいはXSRFとも呼ばれるWebアプリケーションの脆弱性の一種で、攻撃者が用意したWebサイトにユーザーがアクセスするように誘導し、ユーザーが意図しないリクエストを実行させるというものです。

クロスサイトリクエストフォージェリでは、ユーザーに直接的な被害は及びませんが、例えば犯罪予告やアンケートフォームなどへの不正な書き込みや、大量に不正な書き込みをすることによってWebサーバーに過剰な負荷をかけたりさせます。

このため、要するに皆さんのパソコンを使ってインターネット上で何らかのサイトに不正な攻撃を仕掛けられてしまう可能性があるのです。特に犯罪予告などは某掲示板でも警察を巻き込む騒ぎになったこともありますので、余計な事件に巻き込まれることを避けるためにも対策をしておくべきでしょう。

まとめ

NTTは上記脆弱性を利用した攻撃は過去に確認していないという発表をしていますが、CSRFなどはユーザーが気づかないうちに起こっていることもあります。

また、脆弱性というのは、どうしても遅れて発見されることもあります。気づいた時にはすでにハッカーの攻撃対象となっていることがあるからです。今回脆弱性が発見されたひかり電話ルーター以外の機種をお使いの方も、情報漏えいや不正な操作を防ぐためにファームウェアが最新のものであるかを確認するようにしておきましょう。

関連記事

NO IMAGE
光回線を高速化する!?IPv6とは一体何なのか

記事を読む

光ファイバーのサービスの種類と違いについて

記事を読む

フレッツ光の光ポータブルは自宅も外も快適wi-fiが可能!!

記事を読む

フレッツ光から光コラボへ転用する方法とおすすめの光コラボレーション

記事を読む

【IPv6】v6プラスの接続方式に対応したプロバイダ一覧[2018年版]

記事を読む


キャンペーン詳細はページはこちら

プレゼントキャンペーン

当サイトから光回線をお申し込みのお客様に適用されるプレゼントキャンペーンの商品は、iPadやREGZA、AQUOSなどの人気商品を始め、Nintendo Switch・PS4・PS VITA・PSP・PlayStation VRなどのゲーム機、タブレットやノートPCなどパソコン、液晶テレビ、一人暮らしに最適な炊飯器・冷蔵庫・洗濯機など、お客様のお申込み方に合わせてたくさん用意しております。

キャンペーン詳細はこちら

ページ上部に戻る