gizazineで以下のような記事が公開されました。
NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
まず、題名からして、NURO光そのものに脆弱性があると勘違いする内容です。
ですが、NURO光全てのユーザーが当てはまるものではありません。
ONU(自宅に設置されている機器)が、型番:HG8045Qを利用しているユーザーのみ対象です。
HG8045Qの実物 これ以外のONUは安全です実際問題、どうやって不正アクセスする脆弱性なのか
①脆弱性を悪用するには、自宅に侵入し、HG8045Qに対して物理アクセス(視認)する必要があります
HG8045Qの脆弱性を利用するには自宅に侵入が必要
③物理アクセス(視認)して、HG8045Qのハードウェア裏面に記載されているMACアドレスを確認
不正アクセスに必要なパスワードの一部はHG8045Qの裏面を実際に確認する必要がある
MACアドレス(別名物理アドレス)とは
- ネットワーク装置、部品に割り当てられている固有アドレスです。基本的には世界の一つのアドレス
- スマホのWi-Fiチップにも割り当てられており、androidの場合、設定→デバイス情報→Wi-Fi MACアドレスで確認出来る
MACアドレスはネットワーク機器や部品の固有アドレス表記の仕方は「12-34-56-78-9a-bc」のような形が一般的。
④自宅内ネットワーク上から、SSH接続する
ネットからHG8045Qにアクセスは不可能(自宅内ネットワークからのみ)- WAN(インターネット側から)
- SSH(ネットワークに接続されている機器を遠隔操作するための通信手段)
自宅に侵入されている時点で
この脆弱性を一般家庭で悪用する人は可能性として限りなく低いと思います。
HG8045Qの脆弱性は、ネットからは不正アクセス出来ない。これが最大の理由です。
ネット上では、それこそネットからアクセスできる脆弱性機器が沢山放置されている状況です。
それをあえて家に侵入してONUの裏を確認する必要性のある今回の脆弱性。
しかも、侵入した家のネットワークからしか不正アクセス出来ない。
敷居高すぎです。
悪意ある知人や友人の場合は、ONUの裏を写真撮って、自宅内ネットワークから今回の方法を使って侵入なんてこと出来るかもしれませんが。
ONUやWi-FiルータのWi-Fiパスワードを盗み取られ、通信内容を傍受されるパケットキャプチャされる方がよっぽど怖いですし(これはどのONU、Wi-Fiルータでも起こりうること)
それ以上にテレビでよくやっている盗聴器が設置される可能性の方が、現実問題よっぽどありそうです(笑えませんが)
gigazineの問題
危険性ばかり強調している
専門用語ばかりで知識がない人にはさっぱりわからない記事です。
知識がない人から見ると、とにかく危ない、危険だ、しかわからないと思います。
一応下記の部分でネットからはアクセス出来ない事を解説されていますが、ネットワーク用語がわからなければ全く分からない内容です。
HG8045QではWAN側のSSHポートは閉じられているため、SSHを利用したWAN経由でのハッキングは困難です。しかし、MACアドレスさえわかればSSH接続に必要な管理者アカウントのパスワードを特定できてしまい、MACアドレスは本体外面に記載されているため、物理的なアクセスができればroot権限によるコマンド実行が可能な状態となっています。
この内容を見て、ネットからアクセス出来ないことがわかる人がどれだけ居るのでしょうか。
実際、Twitter上ではネットからアクセスし放題じゃないかと勘違いされている方もいらっしゃいました。
脆弱性の報告先がおかしい
gizazineは真っ先に報告すべき場所を間違えています。
脆弱性の報告先はIPA(情報処理推進機構)です。
実際に下記のような専用窓口があり、報告出来ます。
対応含めてNUROだからなー>RT
というか、GIGAZINEは報告する場所を間違えてるだろ。セキュリティ穴はJPCERT/CCかIPAに報告して、そっちから言われないとNUROは動かんだろ。まぁそれも煽りメディアのGIGAZINEだから仕方ないか…— Double H / だぶる☆えっち (@dh_com) November 28, 2020
「脆弱性 報告」とかでググれば真っ先に出てくるIPAではなくいきなりhackeroneに行く理由が分からん。それにハーウェイはちゃんとPSRITの宛先記載されているんだからそこに投げればよかった話
ていうかOEMなんだからNURO側対処は限界ある。物理的にアクセス必要なら緊急度低いのでNUROの態度も普通 https://t.co/jR1fpSWKK5— 扇谷バーナム (@ougigaya) November 28, 2020
何故IPAにgizazineは報告しなかったのか、考えてみるとIPAのFAQにその答えがありました
届出をしたソフトウエア製品の脆弱性関連情報を自分でインターネット等に開示してもいいですか?
取扱い中のソフトウエア製品の届出に関する脆弱性関連情報は、IPAとJPCERT/CCが脆弱性情報を公表するまでの間は、第三者に開示しないでください。これをIPAから発見者に対する情報非開示依頼といいます。脆弱性関連情報の開示に関しては、「Q1-12」も併せて確認してください。
→ ガイドライン IV. 2. 4)
IPAに報告してしまうと情報をインターネットに開示出来ない。
つまりgizazineは記事に出来ないから、IPAに一切報告しなかった訳です。
IPAに報告していれば修正された可能性
gizazineがIPAに報告していれば対応も違ったかもしれません。
IPAに報告を行えば、脆弱性の修正をIPAから要請され、修正される可能性が高いです。
実際、IPAサイトで脆弱性の報告数と実際に修正された件数が確認出来ます。
ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第3四半期(7月~9月)]
しかし、実際にgizazineがIPAに報告することはありませんでした。
HG8045Qは無料で交換可能
今回の脆弱性は、説明してきた通り物理アクセス(実際に機器を視認)しなければいけないため、危険性も低いです。
しかし、gizazineの言っていることが正しければ、NURO光が修正をしないと決定したのも問題です。
ユーザーとしては、どういった対応をすればよいのでしょうか。
まず、ONUがHG8045Q以外利用している場合は、今回の脆弱性は関係ありません。
一方HG8045Q利用しているユーザーは、対策としてONUの交換をおすすめします。
NURO光では、交換する理由があれば無料でONU交換を受け付けております。
今回の脆弱性の対応を理由に交換を申し出れば、問題なく交換可能と思われます。
問い合わせは下記となります。
- NURO サポートデスク 0120-65-3810 (受付時間 9:00~18:00)
交換先のONUは、今回のような脆弱性のないZXHN F660Aをおすすめします。
ゲームも動画もサクサク!爆速インターネットのNURO光
NURO光は、最大2Gbpsという超高速インターネットを提供する光回線サービス。特に、「速度」や「低Ping」、「IPv6対応」にこだわる方にぴったりです!
【実測】NURO 光 G2Tの通信速度・Ping値
- ダウンロード速度:2,117Mbps
- アップロード速度:752Mbps
- Ping値:5ms(非常に低遅延)
- 測定サイト:SPEEDTEST
🌙 夜のゴールデンタイム(21:30頃)にもこの安定感! 例えば、人気ゲーム『SEKIRO』もたったの1分41秒でダウンロード完了!
NURO光の5つの強み
- 下り最大2Gbps/上り最大1Gbpsの爆速回線
- 通信無制限&速度制限なし – データ量を気にせず使い放題!
- NTTとは別網の独自回線で混雑に強く、常に安定した速度を実現
- 高性能Wi-Fiルーターが永年無料 – 追加コストなしで無線環境も快適
- マンションでも使える(8階建て以下なら対応)
評価もダントツ!多くのランキングで1位
NURO光は顧客満足度の高いネット回線です
通信品質やコストパフォーマンスに優れたNURO光は、各種調査で高い評価を獲得しています。最新の調査結果をご紹介します。
📊 J.D. パワー 顧客満足度調査(2025年)
- 関東エリア:NURO光が9年連続で第1位(617ポイント)。「通信品質」「各種費用」で最高評価。
- 関西エリア:第3位(603ポイント)。「各種費用」部門で最高評価。
🏆 オリコン顧客満足度ランキング(2024年)
NURO光は「広域企業部門」で総合第2位(65.6点)。「通信速度・安定性」「コストパフォーマンス」で1位を獲得。
💻 価格.com 満足度ランキング(2025年4月)
NURO光は「マンション向け光回線」カテゴリで上位にランクイン。「通信速度」「料金」「サポート体制」などで高評価を受けています。
NURO光は、関東での圧倒的な支持に加え、他エリアでも実力を示しています。高速・低遅延でコスパも抜群な回線をお探しなら、NURO光をぜひ検討してみてください。
PS5でも爆速!快適なオンライン対戦
NATタイプ:タイプ2(IPv6対応) オンライン対戦でもラグなし・快適マッチング
申し込みで失敗しないための注意点
- どの窓口がお得か分からず損してしまう
- キャッシュバック条件が複雑で面倒
- 無駄なオプション加入で月額が割高に
そんな失敗を避けるには、正規代理店のキャンペーンページから申し込むのがベスト!
※キャンペーンは予告なく終了することがあります。お申し込みはお早めに!
NURO光がエリア外だった場合はこちら
- So-net(auひかり)なら月額3,980円(税込・工事費込み)
- NURO光と同じ独自回線で高速通信&高い満足度
- 戸建て・マンションどちらにも対応
まとめ:迷ったら「NURO光」が正解!
- ゲームも動画もサクサク
- 家族全員の同時利用も快適
- 月額以上の価値がある高速・安定回線
