このたびAterm製品の一部で、悪意のある第三者により、お客様の意図しない現象を引き起こされる可能性があることがわかりました。
Aterm製品は、管理パスワードおよび無線暗号化キーによって、お使いの方以外はアクセスできないようになっておりますが、万が一に備え、対象製品をお使いの場合は以下の内容に従ってご対応をお願いいたします。
ご利用いただいているお客様には、ご不便とご迷惑をお掛けいたしましてまことに申し訳ございません。
現象1 : 悪意のある第三者のホームページをアクセスした場合に、任意のスクリプトが実行される可能性
現象2 : 悪意ある第三者によってお客様がご使用の製品がアクセスされた場合、UPnP経由で任意のコードが実行される可能性
以下の表より、対象機種ごとの対処方法をご確認ください。
※ 記載のない機種につきましては問題ございませんので、安心してそのままご利用いただけます。
| 機種名 | 該当する現象 | 対処方法 |
|---|---|---|
| WG1900HP2 | 現象1、2 | 最新のファームウェアにバージョンアップを行ってください。 オンラインバージョンアップ手順はこちら  をご覧ください。 |
| WG1900HP | 現象1、2 | 最新のファームウェアにバージョンアップを行ってください。 オンラインバージョンアップ手順はこちら をご覧ください。 |
| WG1800HP4 | 現象1、2 | 最新のファームウェアにバージョンアップを行ってください。 オンラインバージョンアップ手順はこちら をご覧ください。 |
| WG1800HP3 | 現象1、2 | 最新のファームウェアにバージョンアップを行ってください。 オンラインバージョンアップ手順はこちら をご覧ください。 |
| WG1200HS3 | 現象1 | 最新のファームウェアにバージョンアップを行ってください。 オンラインバージョンアップ手順はこちら をご覧ください。 |
| WG1200HS2 | 現象1、2 | 最新のファームウェアにバージョンアップを行ってください。 オンラインバージョンアップ手順はこちら をご覧ください。 |
| WG1200HP3 | 現象1、2 | 最新のファームウェアにバージョンアップを行ってください。 オンラインバージョンアップ手順はこちら をご覧ください。 |
| WG1200HP2 | 現象1、2 | 最新のファームウェアにバージョンアップを行ってください。 オンラインバージョンアップ手順はこちら をご覧ください。 |
| W1200EX W1200EX-MS |
現象1 |
最新のファームウェアにバージョンアップを行ってください。 オンラインバージョンアップ手順はこちら をご覧ください。※W1200EX・WX1200EX-MSは中継専用機のため、現象2は発生しません。 (現象2の対処方法にある設定画面はなく、対処の必要はありません。) |
| WG1200HS | 現象1、2 | 下記「対象ファームウェアが提供されていない製品について」をご確認ください。 |
| WG1200HP | 現象1、2 | 下記「対象ファームウェアが提供されていない製品について」をご確認ください。 |
| WF800HP | 現象1、2 | 下記「対象ファームウェアが提供されていない製品について」をご確認ください。 |
| WF300HP2 | 現象1、2 | 下記「対象ファームウェアが提供されていない製品について」をご確認ください。 |
| WR8165N | 現象1、2 | 下記「対象ファームウェアが提供されていない製品について」をご確認ください。 |
| W500P | 現象1、2 | 下記「対象ファームウェアが提供されていない製品について」をご確認ください。 |
| W300P | 現象1、2 | 下記「対象ファームウェアが提供されていない製品について」をご確認ください。 |
クイック設定Webの管理者パスワードとWi-Fi(無線)の暗号化キーは、念のため初期値ではなく堅牢なものに変更することをお勧めします。
詳細はこちらをご覧ください。
現象1と2に対する対処方法は、以下のとおりです。
現象1の対処方法
ウェブサイトにアクセスする場合には、信頼できる情報源からURLを取得してアクセスしたあと、お気に入りに登録します。
2回目以降のアクセスは、登録済みのお気に入りから行うことを推奨します。
『より安心してAterm製品をお使いいただくために』を参考に、クイック設定Webにログインする際の管理者パスワードを設定することを推奨します。
クイック設定Webを開いた場合は、設定終了後にブラウザを必ずすべて閉じてください。
※ ブラウザを閉じるまでは、悪意ある第三者からの攻撃を受ける可能性があるため、クイック設定Webを開いたままとはせず、できるだけ短い時間で設定を行い、設定終了後は、速やかにブラウザを閉じていただくことを推奨します。
※ クイック設定Webを開いた際に、ユーザー名とパスワードの入力を求められなかった場合には、ブラウザが認証情報を保存している可能性がありますので、その場合は、認証情報の削除を推奨します。削除方法についてはお使いのブラウザのヘルプを参照してください。
現象2の対処方法
クイック設定Webの詳細モードで「基本設定」を開き、「UPnP機能」を「使用しない」にしてください。(注1)
その後は、画面下の【設定】ボタンを押して、画面に従って設定を保存してください。
※ この画面はWG1200HPです。
本脆弱性情報を弊社へご報告いただきました関係機関の皆様に厚く御礼申し上げます。
JVN(Japan Vulnerability Notes)より発表された本件に関する情報は、以下よりご覧ください。