多くの人は、どのデバイスを使っていてもファイルにアクセスできることを好みます。だからこそ、Dropbox、Google Drive、iCloud、OneDriveといったサービスは、ほぼどこにでも存在するようになりました。Western Digitalのような企業がMy Cloud製品のようなコネクテッドドライブを提供しているのも、まさにこのためです。しかし、My Cloudの場合、セキュリティ上の欠陥により、ドライブの所有者だけがコンテンツにアクセスできるわけではないのです。
Securifyのレムコ・ヴァーミューレン氏とExploitee.rsは、2017年にMy Cloud製品における重大な認証バイパスの脆弱性を独自に発見し、公表しました。ヴァーミューレン氏は昨年4月にWestern Digitalにこの問題を報告しましたが、同社からの返答はありませんでした。Exploitee.rsも昨年この問題についてWestern Digitalに連絡を取り、Def Con 25で公開討論も行ったものの、同社の警告は無視されたと述べています。
問題の脆弱性により、パスワードなしでMy Cloudドライブへの管理者アクセスが可能になります。Vermeulen氏によると、この脆弱性により「通常は管理者権限が必要となるコマンドを実行し、My Cloudデバイスを完全に制御できるようになる」とのことです。Vermeulen氏は、ファームウェアバージョン2.30.172を搭載したMy CloudモデルWDBCTL0020HWTでこの脆弱性を実証しましたが、同じコードを使用しているため、他のモデルにも同じ脆弱性が存在する可能性が高いと述べています。
Vermeulen氏とExploitee.rsは、この脆弱性を実際に動作させる概念実証を開発しました。Vermeulen氏のデモはGIF形式で公開されており、特に難しいようには見えません。また、脆弱性が公開された今、アマチュアでも悪用される可能性があります。Western Digitalもまだ修正プログラムを開発していませんが、1年半の沈黙により、研究者たちは公表せざるを得なくなりました。
Western Digitalのウェブサイト、ブログ、Twitterアカウントでは、この脆弱性について公式に言及している箇所は見つかりませんでした。しかし、同社は一部のTwitterユーザーに直接返信し、9月19日にひっそりと公開された非公開のブログ記事へのリンクを貼っています。その中で同社は、My Cloud Homeデバイスは影響を受けておらず、「数週間以内」にファームウェアアップデートでこの脆弱性を修正する予定であると述べています。
ウエスタンデジタル社はまた、ヴァーミューレン氏とExploitee.rs社の情報開示に対する対応の遅さを軽視することに熱心だったようだ。
ウエスタンデジタルは、セキュリティ研究コミュニティと協力して、発見される可能性のある問題に対処するなど、製品の機能とセキュリティの向上に継続的に取り組んでいます。有効な脆弱性に対処する間、お客様と研究者による責任ある情報開示を奨励し、お客様の保護を確保します」と、同社はブログ投稿で述べています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
My Cloud デバイスの所有者は、できるだけ早くデバイスがこの欠陥の影響を受けないように、自動更新を有効にすることが推奨されます。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
