市販ルータ等にクリックジャッキングの脆弱性 – 該当機種かどうか是非チェックを！

クリックジャッキングと言うのは、簡単に説明するとブラウザでアクセスしたページが改竄され、意図しない動作が仕組まれ、それにより誘導されたページにおいて何らかのダメージもしくは個人情報などを抜き取られてしまう事を指します。

クリックジャッキング攻撃の例 – IPA

色々と方法は有るのですが、大概の場合、ごく正常に見えるページのリンクであるとかボタンであるとかが改竄され、または意図的にそのように仕組まれたページにアクセスし、そのボタンやリンクをクリックしたことにより、被害を被ります。

これらの脆弱性が、みなさんも大概は使っていると思われる、市販されているルーターに仕組まれるという脆弱性が発見されています。

既に措置を行ったメーカーも(一部の機種か？)有りますので、その場合には、ルーター / スイッチ / 無線 LAN アクセスポイント / その他のネットワーク機器のファームウエアを更新することで、これらの脆弱性を回避することが出来る場合がありますので、下記に現時点での対応状況を示しておきますから、落ち着いてファームウエアのアップデートを行い、対応をしてください。

ヤマハとバッファローについては、既に幾つかの機種において、新しいファームウエアが公開されているもしくはその予定を公表しています。(2015年10月31日時点)

• ヤマハ http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN48135658.html

• バッファロー http://buffalo.jp/support_s/s20151030.html

その他のメーカーは、該当製品の有無などを調査中のところもあるし、まだ公開されていないところもありますので、今後の情報発信に注意しておいたほうがよろしいでしょう。

なんとなく思うのですが、該当となる機種は、思いの外多いのではないかと思っていてます。

まさか個人宅の1台のルーターにこのような被害があるわけ無い！なんて考えないで、対策が有るのであれば、それは適用し脅威から守る作業を行ってください。

こういった脆弱性は、いちいち人間の手を使って行われるものではなく、ロボットのように自動的にばらまかれ、総当り的に行われるので、絶対ウチには来ないなんて思わないことです。

今のところ該当の機種ではないけれど、もう随分古いルーターを使っていますが、ここ数日の間、回線スピードのアップが有った頃から3日に1度ぐらいルーターが応答しなくなる事象が見られます。

ちょっと心配です。

なお、この脆弱性については、Japan Vulnerability Notes：JVN#48135658 で確認できますので、ご一読をお願いします。

また、クリックジャッキングについて、優しく開設された資料(PDF)が IPA にありますので、こちらも併せてご覧になってください。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。