treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

NTTの「ひかり電話ルータ(ホームゲートウェイ)」の脆弱性

今日はセキュリティの話題。
結構使われているルータの脆弱性が発見された、と言う話をご報告します。

発端は

「当方の機器、これに該当していますかね?」
そう連絡が来たのは午後の昼下がり。
連絡されたタイトルを見ると、クロスサイトスクリプティングとかクロスサイトリクエストフォージェリとか物騒な単語が並んでいました。
セキュリティ関連の問題か…。
ちょっと気が重くなる話のようです。

早速、提示されたURLを開いて詳細を見てみることにしました。

対象の機器

NTT東日本の公式ホームページに今回の脆弱性に該当する機器の情報が掲載されていました。

web116.jp

そこには対象機器の一覧が記載されていました。

以下、引用。
--------------------------------------------------------------
【ひかり電話ルータ/ホームゲートウェイ】

PR-S300NE/RT-S300NE/RV-S340NE ファームウェアバージョン「Ver. 19.41」以前
PR-S300HI/RT-S300HI/RV-S340HI ファームウェアバージョン「Ver.19.01.0005」以前
PR-S300SE/RT-S300SE/RV-S340SE ファームウェアバージョン「Ver.19.40」以前
PR-400NE/RT-400NE/RV-440NE ファームウェアバージョン「Ver.7.42」以前
PR-400KI/RT-400KI/RV-440KI ファームウェアバージョン「ver.07.00.1010」以前
PR-400MI/RT-400MI/RV-440MI ファームウェアバージョン「Ver. 07.00.1012」以前
PR-500KI/RT-500KI ファームウェアバージョン「Ver.01.00.0090」以前
RS-500KI ファームウェアバージョン「Ver.01.00.0070」以前
PR-500MI/RT-500MI ファームウェアバージョン「Ver.01.01.0014」以前
RS-500MI ファームウェアバージョン「Ver.03.01.0019」以前
--------------------------------------------------------------
うーん、(使っている機器の型番である)PR-500MIってのがバッチリ記載されています。

対処は?

どうやらファームウェアアップデートが要求されているようです。

PR-500MIのサポートページを確認してみると、現状の最新バージョンは「Ver.09.00.0008」という記載があり、脆弱性情報公開ページの掲載日が2019年6月26日なのに対して、この脆弱性が対処されたファームウェアのバージョンが提供されたのは2016年5月30日という記載があります。
と、言うことはこの脆弱性って最近の話じゃない?
なんかちょっとよく分からなくなってきました。

もうちょっと、よく読むと、
PR-500MIではデフォルト設定で「ファームウェア更新」と言う項目が「自動更新」に設定されているとのこと。なので、特別設定をしなくてもどうやら自動的にファームウェアのアップデートは実行されるだろうと思われることです。
ファームウェアのアップデートをわざわざ現地に行ってやらなくてよいということが分かったのは救いです。

ユーザ側でやることは、「ファームウェアがしっかり適用されているかどうかを改めて確認する」ということのようです。なるほど。

と、いうわけで、最初は
「現地作業か…、気が重いなぁ…。」
と思っていたのですが、よくよく機器の情報ページを読んだら、
「ファームウェアの適用されているバージョンを確認するだけでOK」
ってことが分かって、途端に気が楽になりました。

さっそく確認

無事、ファームウェアのバージョンは「06.00.0010」

f:id:treedown:20190627234852p:plain
という記載(現時点で最新バージョンが適用されている状態)を確認して、脆弱性の対象になっていないことを確認しました。
ついでに、メニューから「メンテナンス」⇒「ファームウェアの更新」を選択し、右の画面に表示されるアップデートの表示で自動更新が設定されていることが分かりました。

f:id:treedown:20190627234927p:plain
あと、不安だったので、自宅のルータもついでに確認してみたところ…

f:id:treedown:20190627234941p:plain
対象外の機器でした。一安心。