2019年6月、NTTのひかり電話契約者向けに配布されている「光電話ルーター」OSコマンドインジェクションとクロスサイトリクエストフォージェリの脆弱性が発見されました。
ひかり電話契約者は最新版ファームウェアに更新することが推奨されています。
この記事の目次
今回脆弱性が発見されたひかり電話ルーターは、具体的な機種名は以下の通りです。
ひかり電話ルーターの機種名は、ルーターの全面下部に記載されているため、お使いの機種が上記に該当しないかどうかを確認してみてください。
上記のひかり電話ルーターの機種に該当する場合は、現時点でのファームウェアは脆弱性を持っているため、最新のバージョンに引き上げる必要があります。以下では、ファームウェアのバージョンの確認方法をご紹介しておきます。
パソコンでInternet ExplorerやGoogle Chromeなどのブラウザを立ち上げ、URL入力欄に下記のどちらかを入力します。
<h3>2. ログインする</h3>
次に認証画面が出てくるので、以下を入力してログインします。
<h3>3. 画面左上もしくは中央に記載されているバージョンを確認する</h3>
ファームウェアのバージョンによって、現在ご使用中のバージョンが出てくる位置が異なりますが、以下の表記を確認します。
今回発見された脆弱性は、ファームウェアのバージョンがVer.07.00.1005以下のものであれば影響を受けます。基本的にファームウェアは特に設定をいじっていなければ自動更新されますが、念の為確認しておくと良いでしょう。
今回発見された脆弱性は2種類です。一つはOSコマンドインジェクション、もう一つはクロスサイトリクエストフォージェリと呼ばれるもの。それぞれどのようなものなのでしょうか?
OSコマンドインジェクションは、ユーザーからデータや数値の入力を受け付けるWebサイトなどにおいて、パラメーターにOSへの命令文を紛れ込ませて、悪意ある情報の操作や改ざん、データの削除などが行われるというものです。
OSとは、コンピューターにおいて基本的な動作を実行する、要は頭脳のようなものですが、これが悪意ある操作をされることによって、例えばメールが勝手に送信されたり、データが改ざんされたりします。
過去にテレビ局では、OSコマンドインジェクションによってあるキャンペーンに応募した43万件の個人情報を漏えいさせることにもなりました。
今回の脆弱性は、ひかり電話ルーターに対するOSコマンドインジェクションであるため、例えば勝手に電話を発信したり、電話の内容を盗聴されたりする可能性もあります。
<h3>クロスサイトリクエストフォージェリ</h3>
クロスサイトリクエストフォージェリとは、CSRF、あるいはXSRFとも呼ばれるWebアプリケーションの脆弱性の一種で、攻撃者が用意したWebサイトにユーザーがアクセスするように誘導し、ユーザーが意図しないリクエストを実行させるというものです。
クロスサイトリクエストフォージェリでは、ユーザーに直接的な被害は及びませんが、例えば犯罪予告やアンケートフォームなどへの不正な書き込みや、大量に不正な書き込みをすることによってWebサーバーに過剰な負荷をかけたりさせます。
このため、要するに皆さんのパソコンを使ってインターネット上で何らかのサイトに不正な攻撃を仕掛けられてしまう可能性があるのです。特に犯罪予告などは某掲示板でも警察を巻き込む騒ぎになったこともありますので、余計な事件に巻き込まれることを避けるためにも対策をしておくべきでしょう。
NTTは上記脆弱性を利用した攻撃は過去に確認していないという発表をしていますが、CSRFなどはユーザーが気づかないうちに起こっていることもあります。
また、脆弱性というのは、どうしても遅れて発見されることもあります。気づいた時にはすでにハッカーの攻撃対象となっていることがあるからです。今回脆弱性が発見されたひかり電話ルーター以外の機種をお使いの方も、情報漏えいや不正な操作を防ぐためにファームウェアが最新のものであるかを確認するようにしておきましょう。
当サイトから光回線をお申し込みのお客様に適用されるプレゼントキャンペーンの商品は、iPadやREGZA、AQUOSなどの人気商品を始め、Nintendo Switch・PS4・PS VITA・PSP・PlayStation VRなどのゲーム機、タブレットやノートPCなどパソコン、液晶テレビ、一人暮らしに最適な炊飯器・冷蔵庫・洗濯機など、お客様のお申込み方に合わせてたくさん用意しております。
フレッツ光はエリアによって、サービスや料金が異なります。
詳細は下記の都道府県のリストをご確認の上で、お住まいのエリアを選択しお進み下さい。
