IPA(独立行政法人 情報処理推進機構)は26日、アイ・オー・データ製「HDL-Fシリーズ」におけるクロスサイト・リクエスト・フォージェリの脆弱性を、JVN(Japan Vulnerability Notes)で公表した。本件は、IPAセキュリティセンターでは「注意喚起」としている。
今回指摘されたものは、LAN接続型ハードディスク「HDL-Fシリーズ」において、Web管理画面にクロスサイト・リクエスト・フォージェリの脆弱性となる。クロスサイト・リクエスト・フォージェリの脆弱性とは、Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことにより知らないうちに、悪意あるスクリプトや操作を行う。
Web管理画面には、本来はアカウントとパスワードが必要になり(設定によっては不要にもなる)、ログインしたユーザーが悪意あるWebページにアクセスすることで、悪意ある操作を引き起こされるという仕組みである。結果として、内蔵するハードディスクに、ディスクの初期化や意図しない設定など、悪意ある操作が行えてしまう。
今回の脆弱性では、攻撃条件の複雑さは「高」、情報漏洩の可能性は「なし」となっているが、他の危険度(情報改竄の可能性、業務停止の可能性)などは、比較的高いものとなっているので対応が必要となる。対応方法は、アイ・オー・データから提供されるHDL-Fシリーズのファームウェアをバージョンアップすること。同社のWebサイトでは、「大切なお知らせ」として情報が掲載されている。
