米連邦取引委員会（FTC）は2月23日、台湾のASUSTeK Computer（ASUS）のルータに2014年に発覚した重大な脆弱性を巡り、ASUSがFTCとの和解に同意したと発表した。

この脆弱性では何十万という消費者のホームネットワークが危険にさらされたほか、セキュリティが不十分なクラウドサービスによって、このサービスに接続した消費者のストレージデバイスからセンシティブな個人情報がインターネットに流出したとFTCは指摘している。

脆弱性問題のあったルータ

FTCの発表によれば、2015年4月にはこの脆弱性を突いてルータの設定を変更し、ユーザーのWebトラフィックを乗っ取る攻撃の発生をマルウェア研究者が確認。他にも全てのルータでログイン用のデフォルトのユーザー名が「admin」、パスワードも「admin」に設定されているなど、設計上の欠陥が見つかった。

また、同ルータに付属するクラウドサービスの「AiCloud」「AiDisk」では、2014年2月に脆弱性を突く攻撃が発生し、ユーザー1万2900人あまりのストレージデバイスが不正アクセスされたという。

ASUSはこうしたセキュリティ問題への迅速な対応を怠り、脆弱性の危険性やセキュリティアップデートの提供に関する消費者への通知も行わなかったとされる。

FTCではASUSに対し、包括的なセキュリティプログラムを確立し、今後20年にわたって独立監査を受けるよう求めた。また、セキュリティアップデートの提供などの対策について消費者に通知するよう命じている。

「モノのインターネット（IoT）が飛躍的に成長し、何百万という消費者がスマートデバイスをホームネットワークに接続している。ルータはそうしたホームネットワークのセキュリティ対策の要であり、ASUSのような企業が消費者とその個人情報を守るために必要なセキュリティ対策を施すことが重要だ」――FTCはそう指摘している。

FTCの和解告知

関連記事 ASUS製ルータに脆弱性、HDDに不審な記録も

外部の人間にはアクセスできるはずのない外付けHDDの中に、不正なメッセージが仕込まれていたという。

ASUS製ルータに脆弱性、HDDに不審な記録も 外部の人間にはアクセスできるはずのない外付けHDDの中に、不正なメッセージが仕込まれていたという。 BuffaloやNetgearなどのルータに脆弱性、CERT/CCが情報公開

BuffaloとNetgeaのルータにはDNS偽装の脆弱性が見つかった。悪用された場合、LANクライアントが攻撃者の制御する不正なホストに接続してしまう恐れがある。

BuffaloやNetgearなどのルータに脆弱性、CERT/CCが情報公開 BuffaloとNetgeaのルータにはDNS偽装の脆弱性が見つかった。悪用された場合、LANクライアントが攻撃者の制御する不正なホストに接続してしまう恐れがある。 脆弱性ある古いlibupnpライブラリが使用のスマート家電、610万台に影響

「Portable SDK for UPnP Devices」（libupnp）というライブラリの脆弱性は2012年に修正されたにもかかわらず、古いバージョンを使い続けているアプリが多数存在するという。

脆弱性ある古いlibupnpライブラリが使用のスマート家電、610万台に影響 「Portable SDK for UPnP Devices」（libupnp）というライブラリの脆弱性は2012年に修正されたにもかかわらず、古いバージョンを使い続けているアプリが多数存在するという。 多数メーカーの組み込み機器に同一の秘密鍵、盗聴攻撃の恐れ

影響を受ける製品はルータやIPカメラ、VOIP電話など多岐にわたる。HTTPS通信に割り込む中間者攻撃を仕掛けられて情報が流出する恐れもある。 関連リンク プレスリリース

Copyright © ITmedia, Inc. All Rights Reserved.