Netgearは、悪意のあるウェブサイトや広告を表示するだけでルーターを乗っ取ることができる重大な脆弱性を認めました。このセキュリティ上の欠陥を悪用すれば、影響を受けるルーターを自身のボットネットとして利用することができ、Netgear製品は事実上、活性化して命令を出すだけで稼働する休眠中の軍隊と化し、大量のトラフィックを流して人気ウェブサイトやオンラインサービスをダウンさせるといった攻撃が可能になります。
この脆弱性はTwitterの「Acew0rm」氏によって発見され、12月8日に問題を公表しました。Netgearのデジタル戦略・イノベーション責任者であるChris Salazar氏は、12月11日の夜にこの問題を認めました。Netgearの顧客にこの問題を知らせるサポート記事は、Acew0rm氏がこの問題を公表してから4日後、そして同社がこの脆弱性に関するビデオを公開してから2日後の12月12日に公開されました。ビデオは以下から視聴できます。
Netgearはサポート記事で、「このセキュリティ問題を最近認識した」と述べています。しかし、Acew0rm氏によると、同社がこの脆弱性について知らされたのは8月25日であり、つまり、エクスプロイトが他者に利用可能になる前に問題を修正する時間は4ヶ月近くあったことになります。多くの責任ある情報開示ポリシーでは、研究者は30日から90日後に情報を共有することが認められていますが、Acew0rm氏はそれよりもさらに長い期間をかけて情報を公開しました。
ルーターのセキュリティ上の欠陥は珍しいことではありません。D-Linkは2013年にバックドアを修正し、製品の設定がリモートから変更されないようにする必要がありました。セキュリティ企業のF-Secureは2015年に無料ツールをリリースし、ユーザーがルーターをスキャンして問題を検出できるようにしました。専門家はFCCに対し、メーカーに対しルーターのファームウェアをオープンソース化し、既知の脆弱性に対するパッチをより迅速にリリースすることを義務付けるよう求めています。
しかし、これらの製品の多くは依然として古いファームウェアを使用しており、企業はセキュリティ強化のためのアップデートをほとんど行いません。ルーターは、この点でIoT(モノのインターネット)デバイスとよく似ています。人々はルーターが動作している時だけ気にし、メーカーは販売数を増やす必要がある時だけ気にします。これらのデバイスは極めて重要であり、オンラインサービスへの攻撃に利用された場合の脅威にも関わらず、多くの人々にとって最優先事項ではありません。
しかし、これらの眠れる軍隊は目覚めつつあるため、企業も消費者も真剣に対応を始めるべき時が来ています。Netgearは、この脆弱性を修正するためのファームウェアアップデートの時期については明らかにしていません。同社は顧客向けのサポート記事で次のように述べています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
NETGEARは現在調査中で、詳細が分かり次第、この記事を更新いたします。セキュリティに関する懸念事項をご報告いただき、誠にありがとうございます。NETGEARは既知および未知の脅威を常に監視しています。新たなセキュリティ問題に対して事後対応ではなく、積極的に対応することが、NETGEARの製品サポートの基本です。
セキュリティ脆弱性を認めるのに4ヶ月もかかるのは、事後対応どころか、事前対応とは言えません。この問題が公表された今、Netgearがより迅速に対応してくれることを願うばかりです。さて、この脆弱性の影響を受けるNetgearモデルをお使いの方は、そろそろ新しいルーターを探し始める時期かもしれません。お気に入りのウェブサイトへの将来の攻撃に無意識のうちに加担してしまうリスクを負うよりも、安全策を講じる方が賢明です。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
