目次

  1. 脆弱性とは
  2. OSコマンドインジェクションとは
  3. 脆弱性が見つかった対象製品
    1. OSコマンドインジェクションの脆弱性のある機器
    2. 認証不備により任意のコマンドが実行可能な機器

 脆弱性とは、情報セキュリティ上の「弱点」や「ほころび」のことで、コンピューターのOSやソフトウェアがきちんと仕様通りに作られていても外部から攻撃されうる弱点となります。

 今回の脆弱性に関する詳しい情報は、JPCERTコーディネーションセンター(JPCERT/CC)のサイトで確認してください。

 情報処理推進機構(IPA)によると、OSコマンドインジェクションとは、外部からの攻撃により、ウェブサーバー側で意図しないOSコマンドを不正に実行されてしまい、重要な情報が盗まれたり、攻撃の踏み台にされたりする問題のことを指します。

OSコマンドインジェクションのイメージ(IPAの公式サイトから引用)

 今回、脆弱性が見つかったと発表された製品は大きく分けて2パターンあります。

 OSコマンドインジェクションの脆弱性のある機器は以下の通りです。()内は製品発売日。

  • WRC-1167FS-W(2017月11月)
  • WRC-1167FS-B(2017月11月)
  • WRC-1167FSA(2017月12月)
WRC-1167FS-W(エレコム提供)

 上記の製品は、対象製品のWeb管理ページにアクセス可能な攻撃者によって、任意のOSコマンドを実⾏される可能性があります。

 エレコムは、製品の使用中止または下記の軽減・回避策をとるよう呼びかけています。

  • 設定画面のログインパスワードを変更する
  • 設定画面にログインしている間、他のウェブサイトにアクセスしない
  • 設定画面での操作終了後は、ウェブブラウザを終了する
  • ウェブブラウザに保存された設定画面のパスワードを削除する

 認証不備により任意のコマンドが実行可能は以下の通りです。()内は製品発売日。

  • WRC-300FEBK(2014月3月)
  • WRC-F300NF(2014月3月)
  • WRC-733FEBK(2014月3月)
  • WRH-300RD(2013月6月)
  • WRH-300BK(2013月6月)
  • WRH-300SV(2013月6月)
  • WRH-300WH(2013月6月)
  • WRH-300BK-S(2014月5月)
  • WRH-300WH-S(2014月5月)
  • WRH-H300WH(2013月8月)
  • WRH-H300BK(2013月8月)

 上記の製品は、アクセス可能な攻撃者によって、任意のコマンドを実⾏される可能性があります。そのため、エレコムは使用中止を勧めています。