ちはろぐ: ドコモHome Wi-FiのAterm WR8166Nと、JVN#59503133: 複数の NEC 製モバイルルータにおけるクロスサイトリクエストフォージェリの脆弱性について

[次の話題]» イーサネットコンバーターで遊んでみたよ (3月21日)
[前の話題]« お散歩写真(猫や桜とか)とモバイルバッテリー (3月21日)
[同じ月]2013年03月
[ ちはろぐ ]

2013年3月21日(木)(この日の分を読む)

ドコモHome Wi-FiのAterm WR8166Nと、JVN#59503133: 複数の NEC 製モバイルルータにおけるクロスサイトリクエストフォージェリの脆弱性について

エントリーID:2673 [ セキュリティ ] インターネット->セキュリティ | こめんと(0)
Tag:[]

« 直前のページへ戻る

追記:
セキュリティに関係ない話題は以下の2つね。
「ちはろぐ: ドコモのHome Wi-Fiのルーターがお届き(2013年3月15日)」
「ちはろぐ: イーサネットコンバーターで遊んでみたよ(2013年3月21日)」


「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを -INTERNET Watch(13/3/19)という記事を見かけまして。

国内のJPCERT/CC(一般社団法人 JPCERT コーディネーションセンター)とIPA(財団行政法人 情報処理推進機構)が共同で運営している脆弱性対策情報ポータルサイト JVN(Japan Vulnerability Notes)に以下のNEC Atermのルーターの脆弱性情報が公開されています。
JVN#59503133: 複数の NEC 製モバイルルータにおけるクロスサイトリクエストフォージェリの脆弱性(13/03/19)


ドコモが無償配布(意訳)しているHome Wi-FiのルーターであるAterm WR8166Nは大丈夫か気になるじゃないですか。

で、問い合わせした結果は続き。

« 直前のページへ戻る

3/19に帰宅して情報に気が付いた時点でドコモの電話窓口は終わっておりましてん。開いてても説明が面倒なんだけど……
フォームから問い合わせ送信しておいたところ、祝日である3/20中(夕方)に返答がありまして。

転載禁止とないので丸写し。

「Aterm」のルーター設定画面にCSRFの脆弱性、ファームアップデートなどを -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20130319_592382.html
とのニュースが出ていますが、Home Wi-FiのAterm 8166Nは大丈夫なのでしょうか?
-----------------
返答。
-----------------
誠に恐れ入りますが、今回ご連絡いただいた記事は、ドコモから発表したものではないため、当該記事の内容についてご案内することができません。

当方までお問い合わせいただいたところ恐縮ですが、当該記事に関するご不明点は、記事の提供元までお問い合わせくださいますようお願いいたします。

また、「HOME Wi-Fi」で提供している無線LANルーター(Aterm WR8166)に脆弱性があるとの情報は現在ドコモで持ちあわせておりません。

そのため、上記製品のご不明点につきましては、メーカー(NECアクセステクニカ株式会社様)までお問い合わせいただければ幸いでございます。

このたびは、当方で明確なご案内ができず、申し訳ございません。

お手数をおかけいたしますが、よろしくお願い申し上げます。

という“「丁寧な」”返答をいただきまして。
企業ニュースサイトの情報URLじゃなくてJVNのURLを送れば良かったかと後悔……


口頭説明が面倒なのでNECのAtermのサイトで機種登録してフォームから問い合わせしようとしたら登録できず(以前にユーザー登録済み)
説明が面倒な予感がしたけど、Atermインフォメーションセンターの0570-550777(ナビダイヤルなので追加料金あり)に固定電話モドキのひかり電話から問い合わせしたよ!!
……結果、保留時間も合わせて30分通話……痛い(>_<)。ケータイからかけなくてセーフ……

http://jvn.jp/jp/JVN59503133/index.html を伝えようとしてたんだけどNECからすれば外部サイトだし、面倒だったのでNEC自体が公開している NV13-005: NEC製品セキュリティ情報 | NEC http://jpn.nec.com/security-info/secinfo/nv13-005.html を伝えまして。口頭でURL伝えるのめんどすぎ。

丁寧な対応で確認をして頂いたところ、NECでは Aterm製品におけるセキュリティ向上のための対処方法について http://121ware.com/product/atermstation/technical/2012/tech0531.htmlとして公開している情報に対策済み機種としてAterm WR8165Nがあり、Aterm WR8166NはWR8165Nと同等品なので対策済みであるとの返答をいただきました。
そしてドコモへの問い合わせからのたらい回しである旨とページへの機種名の記載をお願いしたところ、ドコモ向けの製品であるので上記ページに記載できる保証はないが上には伝えておくとのお返事がありました。

さらに日記で公開するために対応頂いた方の名前などは非公開の上で情報の公開許諾が欲しいと伝えたところ、公開して良いとの返事もいただきました。


オペレーターへの接続時に20秒8円とかという情報が流れてたので、痛いなあ……(>_<)

この話題のりんく/Permlink |2013年3月21日(木)| [ セキュリティ ] インターネット->セキュリティ | こめんと(0) | はてなブックマークでの詳細 はてなブックマークへ追加

« 直前のページへ戻る

[次の話題]» イーサネットコンバーターで遊んでみたよ (3月21日)
[前の話題]« お散歩写真(猫や桜とか)とモバイルバッテリー (3月21日)
[同じ月]2013年03月
[ ちはろぐ ]

当日記/ブログに記載されている会社名・製品名・システム名などは、各社の商標、または登録商標です。
PlayOnline関連画像の権利:Copyright (C) 2002-2014 SQUARE ENIX CO., LTD. All Rights Reserved.

この話題ドコモHome Wi-FiのAterm WR8166Nと、JVN#59503133: 複数の NEC 製モバイルルータにおけるクロスサイトリクエストフォージェリの脆弱性についてのURL:

この話題へのこめんと一覧(0件)

こめんと

気軽に感想とかどおぞ。





もし参考になった時や間違えたことを書いていた時には足跡を残して貰えると喜ぶよ。技術的質問などは答えられないけどね(どうしてもという方はどうぞ。質問したら時間を開けて返事も見に来てね。返事を貰うのを急いだらダメだよ。画像/データファイルを提供をする場合はデータ提供のしかたを参照してね)
こめんとの前に「ちはろぐについて」やその中の「セキュリティ/プライバシーポリシーなど」も確認してね。こめんと内容の権利はちはろぐに帰属し、再利用されることがありますです。
投稿したこめんとは即時反映だけど自動で公開保留になることもあるよ。その場合は運営者の確認と公開まで待ってね(公開しない場合もあるよ)
※運営者が投稿を後悔している話題へのコメントは読まないことがあります。ごめんなさい。

RSSリーダーとかを使っている場合は、最新コメントが判るフィード(ATOM)も提供してるから使ってみてね。

サインインしてこめんとしたほうがこめんと内容の信憑性があがるかも?
批判や批評の域を超えた誹謗中傷のこめんと及び、承認して公開すると運営者もしくは各個人/各会社に不都合がある内容は承認せずに削除することや、承認した場合でも後日に削除されることがあるよ。承認しない理由及び削除の理由は開示しないよ。

※こめんと保存時に回線情報の一部などが保存されるよ。

« 直前のページへ戻る

[次の話題]» イーサネットコンバーターで遊んでみたよ (3月21日)
[前の話題]« お散歩写真(猫や桜とか)とモバイルバッテリー (3月21日)
[同じ月]2013年03月
[ ちはろぐ ]