OCN認証ID・パスワード流出、ロジテック製ルーターの脆弱性を突かれた可能性

LAN-W300N/R

　NTTコミュニケーションズ株式会社（NTT Com）は20日、インターネット接続サービス「OCN」の固定回線ブロードバンド会員（OCN 光、OCN ADSL）を対象に、利用しているブロードバンドルーターのセキュリティ調査をリモートで実施すると発表した。脆弱性のあるルーター製品を使っている会員を割り出し、NTT Comが個別に連絡してルーターのファームウェア更新と、接続認証用パスワードの変更を求める。

　OCNでは6月、第三者によるOCN認証ID・パスワードの不正利用が確認されていたが、その流出元が、ロジテック株式会社製の無線LANルーターである可能性が高いことが判明したという。該当する製品は、2009年発売のIEEE 802.11n/b/g対応無線LANルーター「LAN-W300N/R」、その簡易包装版である「LAN-W300N/RS」、同ルーターとUSB無線LANアダプターのセット「LAN-W300N/RU2」の3製品。2013年8月15日現在、販売は終了している。

　「OCN認証ID」とは、OCN会員がPPPoEやダイヤルアップなどでインターネット接続する際の認証に用いられるもので、ウェブメールなど各種ウェブサービスへのログインに普段使用する、メールアドレスを用いたIDとは別のものだ。ブロードバンド会員であれば、回線開通後にブロードバンドルーターにOCN認証ID・パスワードを設定したまま、以降、目にしていないという人も少なくないと思われる。

　このOCN認証IDのパスワード変更機能などを提供する会員向けウェブサーバーにおいて6月21日～25日、2000件以上のOCN認証IDに対して不正ログイン試行があり、そのうち756件で不正ログインに成功され、パスワードを変更されるという被害が発生していた（本誌2013年6月26日付関連記事を参照）。

　NTT Comによると、その被害を受けた会員にヒアリング調査したところ、上記3製品の利用者という点がほぼ共通していることが判明。それら無線LANルーターに設定されていたOCN認証ID・パスワードが、同ルーターの脆弱性を突かれて外部から窃取された可能性が高いと判断した。

該当3機種の利用者は、OCN会員に限らずファームウェア確認を

　3製品の脆弱性は、ルーターのアクセス制限に不備があり、インターネット側からルーターの管理ページにアクセスされてしまうというもの。ルーターに設定されているPPPoEの認証IDや認証パスワードなどのISP接続情報が、攻撃者によって取得されたり、変更される可能性がある。

　この脆弱性についてはすでに2012年5月の時点で公表されており、ロジテックでは脆弱性を修正したファームウェアを公開。また、これを突いた攻撃活動も確認されているとして、独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）や一般社団法人JPCERT/CCコーディネーションセンター（JPCERT/CC）でも注意喚起を行っていた（本誌2012年5月25日付関連記事を参照）。

　ロジテックでは今回、8月20日付であらためて3製品の脆弱性について告知し、ファームウェアのバージョン確認・更新を呼び掛けている。NTT Comでも、同社からの連絡を待たずに脆弱性の確認を行いたいOCN会員に対して、ロジテックのウェブサイトを参照するよう案内している。また、今回はOCN認証ID・パスワードの流出元ということでNTT Comがセキュリティ調査を実施するわけだが、他のISPの会員であっても3製品のユーザーは同様の被害を受ける可能性はあるため、自身でファームウェアのバージョンを確認する必要がある。

　なお、NTT Comによるセキュリティ調査は、インターネット側から簡易な通信コマンドをブロードバンドルーターに送信し、その応答から脆弱性の有無を確認するもの。会員のインターネット通信に負荷をかけたり、ブロードバンドルーターにログインすることはないとしている。調査期間は8月20日から10月31日までで、一般財団法人日本データ通信協会のテレコム・アイザック推進会議（Telecom-ISAC Japan）と協力して実施する。会員が利用している宅内機器の脆弱性を調査して、該当する会員に個別に対策を求める取り組みは、ISPとしては国内で初めてだという。