独立行政法人情報処理推進機構（IPA）セキュリティセンターと一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は27日、NTT東日本とNTT西日本が提供する「ひかり電話」の契約者向けに配布されている「ひかり電話ルーター」に、OSコマンドインジェクションとクロスサイトリクエストフォージェリの脆弱性があることを公表した。最新版ファームウェアへの更新が推奨されている。

影響を受ける機器は、単体型のひかり電話ルーター「PR-400MI」、回線終端装置（ONU）一体型の「RT-400MI」、VDSL一体型の「RV-440MI」の3機種。いずれもひかり電話の加入者向けにレンタルで提供されているもの。

ファームウェアは3機種共通で、NTT東日本がVer.07.00.1006以前、NTT西日本がVer.07.00.1005以前が影響を受ける。ファームウェアは既定では自動更新となっているが、電話機から特定の入力を行うことで更新できるほか、ウェブブラウザーの設定画面からも更新できる。ファームウェアのバージョンは、ホームゲートウェイ（HGW）にログインすると表示される「ファームウェアバージョン」から確認できる。

OSコマンドインジェクションの脆弱性「CVE-2016-1227/CWE-78」は、製品管理画面にログイン可能なユーザーに、任意のOSコマンドを実行される可能性があるもの。共通脆弱性評価システムCVSS v3による脆弱性評価は6.8ポイント。

クロスサイトリクエストフォージェリの脆弱性「CVE-2016-1228/CWE-352」は、製品にログインした状態のユーザーが、細工されたウェブページにアクセスした場合に、意図しない操作をさせられる可能性があるもの。共通脆弱性評価システムCVSS v3による脆弱性評価は7.1ポイント。

なお、NTT東日本では、過去にこれらの脆弱性を利用した攻撃は確認していないとのこと。