セキュリティ情報ポータルサイトのJVNは2015年1月14日までに、複数のブロードバンドルーターに、管理者権限が乗っ取られる可能性がある深刻なセキュリティ脆弱性が存在すると発表した。脆弱性を悪用されると、ルーターに接続しているパソコンやタブレットなどの情報を第三者に監視され、個人情報や営業秘密が流出するなど大きな被害が出る可能性がある。
影響を回避するためには、ファームウエアをアップデートするか、アップデートできない場合は該当機能を使わないようにしなければならない。
現時点で影響を受けることが判明している国内メーカーの機器は、アイ・オー・データ機器の「NP-BBRsx」(画面)と、バッファローの「BLR-TX4L」「BLR2-TX4L」「BLR3-TX4L」の4機種である。いずれも2002~2003年頃に製造・販売されたもので、既に製造を終了している。
これらのルーターは組み込み型Webサーバーソフトウエア「Allegro RomPager」を内蔵している。Webブラウザーからルーターの各種設定を行うためによく使われるものだ。このRomPagerの4.34より前のバージョンには、容易に管理者権限を取得できる脆弱性があり、機器も影響を受ける。2005年以降に公開されたRomPagerは、この脆弱性を修正済みである。
アイ・オー・データ機器とバッファローはいずれもファームウエアのアップデートは実施しない方針だ。両社は、脆弱性の影響を回避するため、インターネット側から製品の設定ができるようにする機能や、ローカルのWebサーバーをネット上で公開する機能を使わないように呼びかけている。
この脆弱性を発見したイスラエルのCheck Point Software Technologiesは、おみくじが入ったクッキー「フォーチュンクッキー」をもじって、脆弱性を「Misfortune Cookie(残念なフォーチュンクッキー)」と命名した。Check Pointは、この脆弱性を持つ機器が世界中の189カ国で少なくとも200機種、1200万台が出回っていると推測している。今後、新たに影響を受ける機器が判明する可能性もある。
[JVNの発表資料]
[アイ・オー・データ機器の発表資料]
[バッファローの発表資料]
[Check Point Software Technologiesの発表資料]
