UPnPライブラリの脆弱性、ソニーのAVアンプなどにも影響

　UPnP（ユニバーサルプラグアンドプレイ）のオープンソースライブラリ「libupnp」に存在する複数の脆弱性により、同ライブラリを使用している多数のネットワーク機器において外部（WAN側インターフェイス）から攻撃を受ける可能性のあることが判明したことを受けて、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）と独立行政法人情報処理推進機構（IPA）が脆弱性情報サイト「JVN（Japan Vulnerability Notes）」で国内機器ベンダーの該当製品の有無をまとめている。

　1月30日現在、8社の情報を掲載しており、アライドテレシス株式会社、ソフトバンクBB株式会社、東芝テック株式会社、株式会社アイ・オー・データ機器、株式会社インターネットイニシアティブの5社は「該当製品無し」となっている。

　一方、「該当製品あり」となっているのは、ソニー株式会社、古河電気工業株式会社、日本電気株式会社（NEC）の3社。

　ソニー製品では、ネットワーク機能を搭載したAVアンプ「TA-DA5700ES」が該当するとし、本体のソフトウェアアップデートにより対応する予定。アップデート開始は4月以降を予定しておおり、準備が整い次第、同社ウェブサイトで案内する。ただし、ソニーが確認した結果では、「この脆弱性により万が一悪意の第三者が家庭内ネットワークに侵入し、本製品に対して操作を行ったとしても、一時的にメニュー操作ができなくなる可能性がありますが、この脆弱性が原因で本製品が故障する恐れはございません。アップデートまでの間もそのままご使用ください」としている。

　古河電気工業では、ネットワーク機器「FITELnet」の一部製品において、UPnPを有効に設定した場合に影響を受けるとし、1）LANインターフェイスと同じサブネット内に信頼できないノードを接続できない運用形態とする、2）upnp-server access-groupコマンドにより、信頼できるノード以外からの要求を受け付けないように設定する――といった回避・緩和策を紹介している。また、この脆弱性に対処したファームウェアの提供が可能となった際に案内するとしている。

　NECも「該当製品あり」だが、具体的な該当製品については調査を継続中だとしており、対策が整い次第、順次情報を公開するとしている。

　なお、JVNでリストアップされているのは、ごく一部のベンダーに過ぎないことに注意する必要がある。セキュリティ企業のRapid7では、同社が行った調査からlibupnpは200社以上の製品に採用されており、影響は数千万台規模に上ると指摘している。機器ベンダーに対して通知を行った米US-CERTによれば、現在までにCisco Systems、富士通、Huawei、Linksys、Siemensからも影響ありとの回答を受けているという。

　libupnpの開発プロジェクトではすでに脆弱性を修正したバージョン1.6.18を公開しており、US-CERTでは、機器ベンダーに対してlibupnpを最新版にアップデートするよう促している。ただし、各製品のファームウェアアップデートなどには時間がかかることも考えられるため、不要であればUPnP機能を無効にすることや、ファイアウォールで信頼できないホストからのUDP 1900番ポートをブロックすることを対策として挙げている。

【追記 17:00】
　JPCERT/CCも31日、libupnpの脆弱性についての注意喚起を出した。

　JPCERT/CCによれば、libupnpを使用している可能性のある製品のカテゴリーとして、ルーターなどのネットワーク機器（主に家庭向けブロードバンドルータ－）、IP電話機器、インターネット接続可能なテレビおよびDVD/BDレコーダーなどを挙げている。「特にブロードバンドルーターのようなインターネットから直接アクセス可能な機器は、他のカテゴリーの製品より攻撃を受ける可能性は高くなると考えらる」という。

　脆弱性の影響を受ける製品については、今後、各機器ベンダーから対策済みソフトウェアが公開されることが見込まれる。ベンダーからの情報を元に対策済みソフトウェアの適用を検討すること、また、UPnP機能の無効化方法やフィルター方法について各製品のマニュアルを参照することなどをユーザーに求めている。