今回の脆弱性の概要(IPAの情報から引用)
[画像のクリックで拡大表示]
情報処理推進機構(IPA)などは2008年1月28日、ヤマハの「ヤマハRTシリーズルーター」に脆弱(ぜいじゃく)性が見つかったことを明らかにした。管理画面にログインしている状態で悪質なWebページにアクセスすると、パスワードなどの設定を勝手に変更される恐れがある。対策は、ルーターのソフトウエア(ファームウエア)のアップデートなど。
今回の脆弱性を受けるのは、以下の製品。
- SRT100
- RT58i、RT57i、RT56v、RTA55i、RTA54i、RTA52i、RTA50i、RT60w、RTW65i、RTW65b
- RTX1100、RTX1500、RT107e、RTV700、RTX1000、RT52pro、RT80i
これらの製品には、Webブラウザーで設定を変更できる「かんたん設定」といった機能がある。これに「クロスサイト・リクエスト・フォージェリ(CSRF)」と呼ばれる脆弱性が見つかった。ユーザー名とパスワードを入力して管理画面にログインしている状態で、細工が施されたWebページにアクセスすると、管理画面に対して悪質な操作を行われる危険性がある(図)。具体的には、ログインのためのパスワードを変更される恐れなどがある。
対策は、ヤマハルーターのソフトウエア(ファームウエア)を修正済みのバージョンにアップデートすること。「RT57i」では「Rev.8.00.83」、「RT58i」では「Rev.9.01.29」で対応済み。いずれも、同社Webサイトなどから入手できる。「SRT100」「RT107e」「RTV700」の修正済みファームウエアについては、順次公開する予定。
修正済みファームウエアが公開されていない機種、公開予定のない機種では、ルーターの設定を変更して、ブラウザーによる設定機能を無効にすることが対策となる。無効にする方法は、同社Webサイトに詳しい。
