アイ・オー・データ製「HDL-Fシリーズ」におけるセキュリティ上の弱点（脆弱性）の注意喚起

　株式会社アイ・オー・データ機器が提供する、LAN接続型ハードディスク「HDL-Fシリーズ」は、ウェブ管理画面を操作して各機能を設定できます。この、LAN接続型ハードディスク「HDL-Fシリーズ」のウェブ管理画面には、クロスサイト・リクエスト・フォージェリ（CSRF）^(*1)というセキュリティ上の弱点（脆弱性）があるため、悪意あるページを読み込んだ利用者が、ウェブ管理画面で意図しない操作をさせられてしまう可能性があります。

　詳細は、次のURLを参照して下さい。
http://www.iodata.jp/news/2008/important/hdl-f.htm

　最新情報は、次のURLを参照下さい。
http://jvndb.jvn.jp/contents/ja/2008/JVNDB-2008-000079.html

　本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2008年4月28日に以下の報告者からIPAが届出を受け、有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）が製品開発者と調整を行ない、2008年11月26日に公表したものです。
　 報告者：小木曽高之 氏

　アイ・オー・データ製「HDL-Fシリーズ」の利用者が、悪意あるページを閲覧した場合に、対象製品の管理用パスワードの変更や、ディスクの初期化などの、意図しない操作をさせられてしまう可能性があります。

　対策方法は「ファームウェアを最新バージョンにアップデートする」ことです。株式会社アイ・オー・データ機器が提供する、次のURLの情報をもとに対応して下さい。
http://www.iodata.jp/news/2008/important/hdl-f.htm

(1)評価結果

(2)CVSS基本値の評価内容

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

　本脆弱性のCWE分類は、「クロスサイト・リクエスト・フォージェリ（CSRF）（CWE-352）」です。

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図6-1参照）。

　最新の届出状況は 「脆弱性関連情報に関する届出状況（プレスリリース）」 を参照下さい。

図6-1．「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

脚注

参考情報

本件に関するお問い合わせ先

報道関係からのお問い合わせ先