独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は11日、コレガ製の一部の無線LANルータや、アイ・オー・データ機器製の一部のネットワークカメラ製品に脆弱性が発見されたとして、注意喚起した。

コレガ製無線LANルータの脆弱性

対象の機種は、販売終了品の据え置き型ルータ「CG-WLBARGMH」「CG-WLBARGNL」および、2014年4月に発売した現行製品「CG-WLR300NX」の3機種。

「CG-WLBARGMH」「CG-WLBARGNL」の2機種では、クロスサイト・スクリプティングの脆弱性があることがわかった。

クロスサイト・スクリプティングは、ユーザーからの入力を受け付けるWebサイトなどで、悪意のあるスクリプトが埋め込まれる攻撃。これにより、ユーザのWebブラウザ上で任意のスクリプトを実行される恐れがある。

また、「CG-WLR300NX」では、クロスサイト・リクエスト・フォージェリの脆弱性、クロスサイト・スクリプティングの脆弱性、アクセス制限不備の脆弱性があることがわかった。

クロスサイト・リクエスト・フォージェリは、Webサイトなどに細工し、利用者の意図しない動作をサーバ上で実行させる攻撃のこと。これにより、ログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる恐れがある。

また、アクセス制限不備の脆弱性では、CG-WLR300NXにアクセス可能な第三者により、管理者がログインしているCG-WLR300NX上で任意の操作を実行させられる恐れがある。

「CG-WLBARGMH」および「CG-WLBARGNL」のサポートは終了しているため、JPCERT/CCおよびコレガでは、現行製品である「CG-WLR300NX」または「CG-WFR600」への移行を推奨している。また、「CG-WLR300NX」の脆弱性に関しては、最新のファームウェアで対策されているため、速やかなアップデートが呼びかけられている。

コレガによる告知(一部)

アイ・オー・データ製ネットワークカメラの脆弱性

対象の機種は、2016年に発売した現行製品「TS-WRLP」「TS-WRLA」の2機種。情報漏えいの脆弱性が存在することがわかり、この脆弱性により、同製品の認証情報などを取得される恐れがある。最新のファームウェア「Ver. 1.01.02」で対策されており、JPCERT/CCおよびアイ・オー・データ機器から、こちらも速やかなアップデートが呼びかけられている。

アイ・オー・データによる告知(一部)