「Pocket WiFi（GP02）」にCSRFの脆弱性、ファームウェアのアップデートを

Pocket WiFi（GP02）

　独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は1日、イー・アクセス株式会社が提供するモバイル無線LANルーター「Pocket WiFi（GP02）」（Huawei社製）に、クロスサイトリクエストフォージェリ（CSRF）の脆弱性があることを公表した。イー・アクセスが用意した最新ファームウェアにアップデートするよう呼び掛けている。

　IPA/ISECとJPCERT/CCが運営する脆弱性情報サイト「JVN（Japan Vulnerability Notes）」によると、この脆弱性は、ユーザーがGP02にログインした状態で悪意あるページを読み込んだ場合、設定の初期化や再起動をさせられる可能性があるというもの。ファームウェアのバージョン「11.203.11.05.168」以前が影響を受ける。

　イー・アクセスが1日に公開したファームウェアは、バージョン「11.203.24.03.168」。脆弱性修正のほか、マルチSSIDへの対応も行われた。WiFi接続に2つのSSIDを使用できる機能で、SSIDごとに暗号化方式などを別々に設定できる。例えばニンテンドーDSはWEP方式で接続し、PCはWPA方式で接続するといった使い分けが可能になる。

　この脆弱性は、2011年10月31日にIPAが届け出を受け、JPCERT/CCが製品開発者と調整を行なった後、今回公表された。