gizazineで以下のような記事が公開されました。
NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
まず、題名からして、NURO光そのものに脆弱性があると勘違いする内容です。
ですが、NURO光全てのユーザーが当てはまるものではありません。
ONU(自宅に設置されている機器)が、型番:HG8045Qを利用しているユーザーのみ対象です。
HG8045Qの実物 これ以外のONUは安全です実際問題、どうやって不正アクセスする脆弱性なのか
①脆弱性を悪用するには、自宅に侵入し、HG8045Qに対して物理アクセス(視認)する必要があります
HG8045Qの脆弱性を利用するには自宅に侵入が必要
③物理アクセス(視認)して、HG8045Qのハードウェア裏面に記載されているMACアドレスを確認
不正アクセスに必要なパスワードの一部はHG8045Qの裏面を実際に確認する必要がある
MACアドレス(別名物理アドレス)とは
- ネットワーク装置、部品に割り当てられている固有アドレスです。基本的には世界の一つのアドレス
- スマホのWi-Fiチップにも割り当てられており、androidの場合、設定→デバイス情報→Wi-Fi MACアドレスで確認出来る
MACアドレスはネットワーク機器や部品の固有アドレス表記の仕方は「12-34-56-78-9a-bc」のような形が一般的。
④自宅内ネットワーク上から、SSH接続する
ネットからHG8045Qにアクセスは不可能(自宅内ネットワークからのみ)- WAN(インターネット側から)
- SSH(ネットワークに接続されている機器を遠隔操作するための通信手段)
自宅に侵入されている時点で
この脆弱性を一般家庭で悪用する人は可能性として限りなく低いと思います。
HG8045Qの脆弱性は、ネットからは不正アクセス出来ない。これが最大の理由です。
ネット上では、それこそネットからアクセスできる脆弱性機器が沢山放置されている状況です。
それをあえて家に侵入してONUの裏を確認する必要性のある今回の脆弱性。
しかも、侵入した家のネットワークからしか不正アクセス出来ない。
敷居高すぎです。
悪意ある知人や友人の場合は、ONUの裏を写真撮って、自宅内ネットワークから今回の方法を使って侵入なんてこと出来るかもしれませんが。
ONUやWi-FiルータのWi-Fiパスワードを盗み取られ、通信内容を傍受されるパケットキャプチャされる方がよっぽど怖いですし(これはどのONU、Wi-Fiルータでも起こりうること)
それ以上にテレビでよくやっている盗聴器が設置される可能性の方が、現実問題よっぽどありそうです(笑えませんが)
gigazineの問題
危険性ばかり強調している
専門用語ばかりで知識がない人にはさっぱりわからない記事です。
知識がない人から見ると、とにかく危ない、危険だ、しかわからないと思います。
一応下記の部分でネットからはアクセス出来ない事を解説されていますが、ネットワーク用語がわからなければ全く分からない内容です。
HG8045QではWAN側のSSHポートは閉じられているため、SSHを利用したWAN経由でのハッキングは困難です。しかし、MACアドレスさえわかればSSH接続に必要な管理者アカウントのパスワードを特定できてしまい、MACアドレスは本体外面に記載されているため、物理的なアクセスができればroot権限によるコマンド実行が可能な状態となっています。
この内容を見て、ネットからアクセス出来ないことがわかる人がどれだけ居るのでしょうか。
実際、Twitter上ではネットからアクセスし放題じゃないかと勘違いされている方もいらっしゃいました。
脆弱性の報告先がおかしい
gizazineは真っ先に報告すべき場所を間違えています。
脆弱性の報告先はIPA(情報処理推進機構)です。
実際に下記のような専用窓口があり、報告出来ます。
対応含めてNUROだからなー>RT
というか、GIGAZINEは報告する場所を間違えてるだろ。セキュリティ穴はJPCERT/CCかIPAに報告して、そっちから言われないとNUROは動かんだろ。まぁそれも煽りメディアのGIGAZINEだから仕方ないか…— Double H / だぶる☆えっち (@dh_com) November 28, 2020
「脆弱性 報告」とかでググれば真っ先に出てくるIPAではなくいきなりhackeroneに行く理由が分からん。それにハーウェイはちゃんとPSRITの宛先記載されているんだからそこに投げればよかった話
ていうかOEMなんだからNURO側対処は限界ある。物理的にアクセス必要なら緊急度低いのでNUROの態度も普通 https://t.co/jR1fpSWKK5— 扇谷バーナム (@ougigaya) November 28, 2020
何故IPAにgizazineは報告しなかったのか、考えてみるとIPAのFAQにその答えがありました
届出をしたソフトウエア製品の脆弱性関連情報を自分でインターネット等に開示してもいいですか?
取扱い中のソフトウエア製品の届出に関する脆弱性関連情報は、IPAとJPCERT/CCが脆弱性情報を公表するまでの間は、第三者に開示しないでください。これをIPAから発見者に対する情報非開示依頼といいます。脆弱性関連情報の開示に関しては、「Q1-12」も併せて確認してください。
→ ガイドライン IV. 2. 4)
IPAに報告してしまうと情報をインターネットに開示出来ない。
つまりgizazineは記事に出来ないから、IPAに一切報告しなかった訳です。
IPAに報告していれば修正された可能性
gizazineがIPAに報告していれば対応も違ったかもしれません。
IPAに報告を行えば、脆弱性の修正をIPAから要請され、修正される可能性が高いです。
実際、IPAサイトで脆弱性の報告数と実際に修正された件数が確認出来ます。
ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第3四半期(7月~9月)]
しかし、実際にgizazineがIPAに報告することはありませんでした。
HG8045Qは無料で交換可能
今回の脆弱性は、説明してきた通り物理アクセス(実際に機器を視認)しなければいけないため、危険性も低いです。
しかし、gizazineの言っていることが正しければ、NURO光が修正をしないと決定したのも問題です。
ユーザーとしては、どういった対応をすればよいのでしょうか。
まず、ONUがHG8045Q以外利用している場合は、今回の脆弱性は関係ありません。
一方HG8045Q利用しているユーザーは、対策としてONUの交換をおすすめします。
NURO光では、交換する理由があれば無料でONU交換を受け付けております。
今回の脆弱性の対応を理由に交換を申し出れば、問題なく交換可能と思われます。
問い合わせは下記となります。
- NURO サポートデスク 0120-65-3810 (受付時間 9:00~18:00)
交換先のONUは、今回のような脆弱性のないZXHN F660Aをおすすめします。
【公式よりお得】今だけ!NURO光で家じゅうサクサク快適インターネット
動画が止まる。ゲームがラグい。家族みんなで使うとネットが遅い…
そんなあなたのネットの悩み、NURO光が一発解決!
下り最大2Gbpsの超高速回線で、動画見放題・ゲーム・テレワークも全部快適。
NURO光のスピードテスト実測結果- 📶 家族5人でも同時に使えてサクサク!
- 🎮 FPSゲームでもPing安定でラグなし
- 📺 4K動画もストレスフリーで見放題
- 💰 工事費実質無料+キャッシュバック最大45,000円
✔ NURO光公式キャンペーン中!
NURO光を「このページから申し込む」と、通常45,000円キャッシュバック。
しかも、開通工事費も実質無料だから、初期費用もグッと抑えられます。
さらに、キャッシュバックが期間限定で増額されることも…!?
タイミング次第で、公式サイトよりお得に申し込めるチャンスです!
さらに、他社からの乗り換えもサポート対象。
「今のネットが遅い…」「月額が高い…」と感じているなら、今が乗り換えのチャンスです!
※キャンペーンは予告なく終了する場合があります。お早めにチェック!
📍 対応エリアを今すぐチェック!
関東・関西・東海・九州・北海道など広い地域で提供中。
引っ越しや新生活でネットを探している方にもおすすめです。
