人気の接続ストレージに脆弱性、パスワードなしでアクセス可能に

人気接続ストレージのソフトウェアに脆弱性、アタッカーがアクセス可能に
セキュリティー研究者らは、人気のインターネット接続ストレージ4機種に、ハッカーがユーザーのプライベートデータや機密データをアクセスできる欠陥があることを発見した。

Paulos YibeloとDaniel Eschetuによると、彼らがテストしたデバイスのうち3機種——NetGear Stora、Seagate Home、およびMedion LifeCloud——を制御しているソフトウェアは、アタッカーがパスワードなしでデータを読み取り、変更、削除することができるという。

今週TechCrunchに情報提供したYibeloは、研究結果をブログでも発表し、ほかにも多くの機種が危険に晒されていると言った。

Axentra社が開発したHipservというソフトウェアは、彼らが発見した4つの欠陥のうち3つに関して主たる責任がある。HipservはLinuxベースで、さまざまなウェブ技術——PHPを含む——を利用してウェブインターフェースを構築している。しかし研究者らは、認証なしでドライブ上のファイルをアクセスできるバグを発見した。さらに、”root” ——最高アクセス権限を持つ標準ユーザーアカウント——として自由にコマンドを発行できるため、そのドライブのデータは詮索好きな目に晒されたり破壊されたりするリスクがある。

本誌はAexentraにコメントを求めたが、本稿執筆時点でまだ返答がない。

Netgearの広報担当社は、Storaは「すでに販売が中止されたサポート対象外製品である」と言った。Seagateは本誌の締切までにコメントしなかったが、状況が変わり次第続報の予定。現在Medionを所有するLenovoはコメント要求に返答していない。

研究者らは、WD My Book Liveドライブにも別のバグがあり、アタッカーがリモートでルートアクセスを可能であることを報告している。

WD広報担当者は、この脆弱性は2010年に発売され2014年に販売中止されたデバイスに影響を与えるものであり「当社のソフトウェアサポート期間の対象外である」と言った。さらにWDは「これらの旧製品を使い続けたいユーザーは、リモートアクセスを防止するようファイアウォールを設定することを推奨する」と付け加えた。

いずれの脆弱性も、アタッカーは対象ドライブのIPアドレスを知るだけでよい。IPアドレスはShodanなどのサイトのおかげで、昨今さほど入手困難なデータではない。

影響を受けるデバイスの数は見方によって様々であり、Shodanは31万1705と言っているが、 ZoomEyeは180万デバイスに近いと発表している。

研究者らはバグについてある程度の情報を公開しているが、アタッカーが欠陥を利用するのを防ぐために、侵入コードを公開する予定はないとしている。

彼らからのアドバイス:クラウドドライブを運用しているなら、「デバイスをインターネットから切り離すこと」

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。