ヤマハ株式会社が提供する、ファイアウォールルーター「SRT100」、ブロードバンドVoIPルーターの「RT58i」、イーサアクセスVPNルーター「RTX1100」などのヤマハルーター製品には、ウェブ管理画面を利用することでウェブラウザから各機能を設定できるものがあります。

　この、ウェブ管理画面には、クロスサイト・リクエスト・フォージェリ(CSRF)(*1)というセキュリティ上の弱点（脆弱性）があるため、悪意あるページを閲覧した利用者が、ウェブ管理画面で意図しない操作をさせられてしまう可能性があります。

　対象製品の詳細は、次のURLを参照して下さい。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN88575577.html

　最新情報は、次のURLを参照して下さい。
http://jvndb.jvn.jp/contents/ja/2008/JVNDB-2008-000005.html

　本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2007年10月16日に次の方からIPAが届出を受け、有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）が製品開発者と調整を行ない、2008年1月28日に公表したものです。
　報告者： 片桐 弘敬 氏

　ヤマハルーター製品の管理者がウェブ管理画面にログインした状態で悪意あるページを読み込んだ場合、パスワードなどの設定が変更される可能性があります。

　この結果、同製品が悪意あるユーザによって設定を変更され、制御される恐れがあります。

　対策方法は「ファームウェアを最新バージョンにアップデートする」あるいは「設定を変更する」ことです。対象製品毎に対策方法が異なりますので、ヤマハ株式会社が提供する、次のURLの情報をもとに対応して下さい。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN88575577.html

(1)評価結果

(2)CVSS基本値の評価内容

注） ・■：選択した評価結果
     ・AV:AccessVector, AC:AccessComplexity, Au:Authentication,
       C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図5-1参照）。

　最新の届出状況は、 「脆弱性関連情報に関する届出状況（プレスリリース）」を参照下さい。

図5-1．「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

『脚注』

(*1) ：CSRF の概要や想定される脅威、対策などは、「知っていますか？脆弱性」を参照下さい。
http://www.ipa.go.jp/security/vuln/vuln_contents/

• ニュースリリース全文

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：

独立行政法人 情報処理推進機構 戦略企画部 広報グループ　横山／佐々木
TEL：03-5978-7503　FAX：03-5978-7510
E-mail：