ネットワークカメラに脆弱性、ソニー53製品とアイ・オー・データ2製品で

　独立行政法人情報処理推進機構（IPA）セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は、ソニー製の防犯・監視システム用ネットワークカメラ53製品と、株式会社アイ・オー・データ機器のネットワークカメラ2製品に脆弱性が見つかったことを発表した。いずれも最新ファームウェアの適用が推奨されている。

　ソニー製の複数のネットワークカメラ製品には、アクセス可能な第三者により認証情報などを取得され、これによりシステム権限を取得される可能性がある。共通脆弱性評価システムCVSS v3のスコアは6.5。

　ソニーでは、脆弱性を修正したファームウェアを29日に公開している。SNC-CH120/160/220/260、SNC-DH120/160/220/260、SNC-ZB550、SNC-ZM550、SNC-EP520/550/580、SNC-ER520/550/580/585、SNC-ZP550、SNC-ZR550は、ファームウェアを最新バージョンの「1.86.00」へ、SNC-CX600/W、SNC-EB600/B、SNC-EB602R、SNC-EB630/B、SNC-EB632R、SNC-EM602R/RC、SNC-EM630/SNC-EM632R/RC、SNC-VB600/B、SNC-VB630、SNC-VB632D、SNC-VB635、SNC-VM600/B、SNC-VM602R、SNC-VM630、SNC-VM632R、SNC-WR600、SNC-WR602/C、SNC-WR630、SNC-WR632/C、SNC-XM631、SNC-XM632、SNC-XM636、SNC-XM637は、「2.7.2」へアップデートすることが推奨されている。

　アイ・オー・データの無線LAN対応ネットワークカメラ「Qwatch（クウォッチ）」シリーズの「TS-WRLP」「TS-WRLA」には、OSコマンドインジェクション（CVE-2016-7819）とバッファオーバーフロー（CVE-2016-7820）の脆弱性2件が発見された。製品にログイン可能な第三者により、任意のOSコマンドが実行されたり、任意のコードが実行されてDoS攻撃を受けたりするという。いずれの脆弱性も、共通脆弱性評価システムCVSS v3のスコアは6.8。

　アイ・オー・データでは30日より、脆弱性を修正したファームウェアバージョン「1.01.03」の提供を開始している。

　TS-WRLP、TS-WRLAは2016年に発売された製品で、11日にも情報漏えいに関する脆弱性により、ファームウェアが「1.01.02」に更新されたばかりだった。