ピックワールド(PIC World)

インフォメーション

この記事は 2015年11月01日 に以下のカテゴリに投稿されました Security.

この記事のタグ

, , , , , , , , , , ,


市販ルータ等にクリックジャッキングの脆弱性 – 該当機種かどうか是非チェックを!

クリックジャッキングと言うのは、簡単に説明するとブラウザでアクセスしたページが改竄され、意図しない動作が仕組まれ、それにより誘導されたページにおいて何らかのダメージもしくは個人情報などを抜き取られてしまう事を指します。

クリックジャッキング攻撃の例 - IPA

クリックジャッキング攻撃の例 – IPA

色々と方法は有るのですが、大概の場合、ごく正常に見えるページのリンクであるとかボタンであるとかが改竄され、または意図的にそのように仕組まれたページにアクセスし、そのボタンやリンクをクリックしたことにより、被害を被ります。

これらの脆弱性が、みなさんも大概は使っていると思われる、市販されているルーターに仕組まれるという脆弱性が発見されています。

既に措置を行ったメーカーも(一部の機種か?)有りますので、その場合には、ルーター / スイッチ / 無線 LAN アクセスポイント / その他のネットワーク機器のファームウエアを更新することで、これらの脆弱性を回避することが出来る場合がありますので、下記に現時点での対応状況を示しておきますから、落ち着いてファームウエアのアップデートを行い、対応をしてください。

ベンダステータスステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社該当製品あり2015/10/30
センチュリー・システムズ
株式会社
脆弱性情報提供済み2015/10/30
プラネックス
コミュニケーションズ
株式会社
脆弱性情報提供済み2015/10/30
ヤマハ株式会社該当製品あり2015/10/30ヤマハ株式会社
の告知ページ
日本電気株式会社該当製品あり(調査中)2015/10/30
株式会社
アイ・オー・データ機器
該当製品あり(調査中)2015/10/30
株式会社コレガ該当製品無し2015/10/30
株式会社バッファロー該当製品あり(調査中)2015/10/30株式会社バッファロー
の告知ページ

 

ヤマハとバッファローについては、既に幾つかの機種において、新しいファームウエアが公開されているもしくはその予定を公表しています。(2015年10月31日時点)

RTX1210順次リリース予定
FWX120Rev.11.03.13
RTX810Rev.11.01.25
NVR500Rev.11.00.28
RTX1200Rev.10.01.65
SRT100順次リリース予定

 

製品カテゴリ影響の有無対処方法/備考
ネットワーク関連製品WXR-1900DHP影響あり11月末に対策版ファームウェアを公開予定。
WXR-1750DHP,
WZR-1750DHP2,
WZR-1750DHP,
WZR-S1750DHP,
WZR-1166DHP2,
WZR-1166DHP
影響あり12月中旬に対策版ファームウェアを公開予定。

 

その他のメーカーは、該当製品の有無などを調査中のところもあるし、まだ公開されていないところもありますので、今後の情報発信に注意しておいたほうがよろしいでしょう。

なんとなく思うのですが、該当となる機種は、思いの外多いのではないかと思っていてます。

まさか個人宅の1台のルーターにこのような被害があるわけ無い!なんて考えないで、対策が有るのであれば、それは適用し脅威から守る作業を行ってください。

こういった脆弱性は、いちいち人間の手を使って行われるものではなく、ロボットのように自動的にばらまかれ、総当り的に行われるので、絶対ウチには来ないなんて思わないことです。

今のところ該当の機種ではないけれど、もう随分古いルーターを使っていますが、ここ数日の間、回線スピードのアップが有った頃から3日に1度ぐらいルーターが応答しなくなる事象が見られます。

ちょっと心配です。

なお、この脆弱性については、Japan Vulnerability Notes:JVN#48135658 で確認できますので、ご一読をお願いします。

また、クリックジャッキングについて、優しく開設された資料(PDF)が IPA にありますので、こちらも併せてご覧になってください。


コメントを残す

最近の投稿

最近のコメント

アーカイブ