お知らせ お客様各位 「PR-400MI、RT-400MI、RV-440MI」をご利用のお客さまへ
情報掲載日:2016年06月27日
東日本電信電話株式会社
- 概要
弊社が提供する一部のひかり電話ルータのWeb設定画面に脆弱性が存在します。 - 影響を受けるシステム
ひかり電話ルータ(PR-400MI/RT-400MI/RV-440MI)バージョン07.00.1006およびそれ以前 - 詳細情報
特定の利用条件下において、OSコマンドインジェクションの脆弱性、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在します。 - 対策方法
弊社が提供する情報をもとに、最新版へアップデートしてください。
お使いいただいているひかり電話ルータの前面に記載されている機種名をご確認いただき、それぞれのリンクからアップデートをお願いします。
QA
- Q OSコマンドインジェクションとはどんな脆弱性か
-
A
以下、ご参照ください。具体的な中身をお伝えすることは新たな攻撃を誘発する可能性があるため、お伝えできないことをご了承ください。
https://www.ipa.go.jp/security/vuln/vuln_contents/oscmd.html - Q OSコマンドインジェクションによる被害はどのようなものか
- A 当該製品の管理画面にログイン可能なユーザによって、当該製品上で任意のOSコマンドを実行される可能性があります。
- Q 過去、脆弱性による被害があったかどうかを確認する方法はあるか
-
A
ありません。
今回のCSRFがHGWへの攻撃に利用した事象は確認されておりません。 - Q クロスサイトリクエストフォージェリとはどんな脆弱性か
-
A
以下、ご参照ください。具体的な中身をお伝えすることは新たな攻撃を誘発する可能性があるため、お伝えできないことをご了承ください。
https://www.ipa.go.jp/security/vuln/vuln_contents/csrf.html - Q クロスサイトリクエストフォージェリによる被害はどのようなものか
- A 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、当該製品の設定を変更される等の可能性があります。
- Q 過去、脆弱性による被害があったかどうかを確認する方法はあるか
- A ありません。今回のCSRFがHGWへの攻撃に利用した事象は確認されておりません。
- Q 現在使用しているひかり電話ルータの機種名の確認方法は
- A ご使用いただいているひかり電話ルータの前面下部分をご確認ください。機種名が記載されています。
- Q 現在のファームウェアのバージョンはどうしたら確認できるか
- A HGWにログインしていただき、「ファームウェアバージョン」に表示されているバージョンを確認してください。
なお、機器ごとのアップデート状況の確認、及びアップデートの方法についてのお問合わせは下記にて承ります。
通信機器お取扱い相談センタ
0120-970143(03-5667-7100※)
営業時間:午前9時~午後5時まで 土日・休日も営業(年末年始を除きます)
※携帯電話・PHS・050IP電話用 通話料金がかかります。