初期設定でパスワード認証がオフ
いますぐ対応を、アイ・オー・データのルータに「危険な仕様」
2008/03/18
情報処理推進機構(IPA)は3月18日、複数のアイ・オー・データ製無線LANルータに、インターネット側から管理画面を操作できてしまう脆弱性があると発表した。深刻度は3段階で最も高い「危険」で、ユーザーは早急な対応が必要だ。
脆弱性が見つかったのはアイ・オー・データの「WN-APG/Rシリーズ」「WN-WAPG/Rシリーズ」。初期設定では管理画面にアクセスする認証機能が無効になっていて、ルータのIPアドレスさえ分かればインターネット側から自由に管理画面にアクセスできるようになっている。ルータの設定が勝手に変更され、ネット上の攻撃に悪用される危険がある。インターネット側からアクセス可能で、初期設定で認証機能がオフになっていることを考えれば、脆弱性ではなく、誤った仕様ともいえるだろう。
初期設定を変更するには2つの方法がある。1つは管理画面を開いてセキュリティ設定を「標準」から「中」「カスタム」「高」のいずれかに設定してインターネット側からアクセスできないようにすること。もう1つは管理画面にアクセスするためのパスワードを設定することだ。
さらにアイ・オー・データが提供する最新のファームウェアを適用することで、セキュリティ設定が標準で「中」となり、インターネット側から管理画面にアクセスできないようになる。ただ、パスワードによる認証は個別に設定しないと有効にならない。
見つかった脆弱性(IPA発表資料から)関連リンク
関連記事
情報をお寄せください:
Security&Trust フォーラム 新着記事
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
Copyright © ITmedia, Inc. All Rights Reserved.