情報処理推進機構(IPA)は2007年10月12日,バッファロー製の無線LANルーター「AirStation WZR-RS-G54」と「AirStation WZR-RS-G54HP」にクロスサイト・リクエスト・フォージュリー(XSRF)のぜい弱性があると発表した。
今回のぜい弱性は細工されたURLのリンクをたどると,無線LANルーターの設定が変わってしまうというもの。例えば,無線LANルーターのWeb設定画面をインターネット側から設定できるようにしたり,インターネットからLAN内への通信を許可するといった設定変更ができてしまう。
例えば,悪意ある者がメールやWebページを使って無線LANルーターの設定を変更する細工を施したURLへ誘い,ユーザーがそのリンクをたどってしまうと,知らぬ間に無線LANルーターの設定が変更されるというわけだ。ただし,無線LANルーターのWeb設定画面にログオンしている状態でないと,こうした設定変更は有効に機能しない。IPAは「作業終了後は設定画面から必ずログアウトするように心がけること」を推奨している。
対策は,無線LANルーターのファームウエアを最新のものにアップデートすること。ファームウエアはバッファローのホームページからダウンロードできる。
[発表資料へ]
