Seagateの無線ハードディスクドライブ製品に非公開のrootアカウントが実装されており、リモートからのデータ窃取に悪用される可能性があることが判明した。

セキュリティ情報の収集と分析を手がける機関であるCERTが、セキュリティ企業Tangible Securityからの報告を受けて米国時間9月1日に公表したアドバイザリによると、該当するSeagateの無線ハードディスクドライブ製品は、マニュアルなどの技術文書に記載されていないTelnetサービスを提供しており、そのユーザー名とパスワードは既定で「root」に設定されている。該当する製品にはこれ以外にも複数の脆弱性が報告されており、これらを攻撃者によって悪用されると、無線経由でドライブにアクセスされ、ファイルシステム上に存在する任意のファイルを、制限なしに直接ダウンロードされる可能性がある。また、ファイル共有用に予約されているファイルシステム上に、任意のファイルをアップロードされる可能性もある。

アドバイザリによると、脆弱性の影響を受けるのはSeagateの「Wireless Plus Mobile Storage」「Wireless Mobile Storage」「LaCie FUEL」の3機種。該当するファームウェアのバージョンは、2014年10月ごろにリリースされた「2.2.0.005」と「2.3.0.014」だが、他のバージョンも脆弱性の影響を受ける可能性があるという。

脆弱性は該当する製品のファームウェアを最新バージョンに更新することで修正可能だが、高名なセキュリティ研究者であるKenn White氏は、「ハードディスクドライブにはrootアカウントを実装すべきではない」とSeagateを批判するツイートを発信している。

Seagateは本記事の執筆時点で本件に関する公式のコメントを発表していない。