複数の市販ルータにクリックジャッキングの脆弱性--JVNが発表

　独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は10月30日、両団体が運営する「Japan Vulnerability Notes」（JVN）において、「複数のルータ製品におけるクリックジャッキングの脆弱性」（JVN#48135658）の情報を公開した。

　この情報は、情報セキュリティ早期警戒パートナーシップに基づきサイバーディフェンス研究所から情報処理推進機構へと報告され、JPCERTコーディネーションセンターと開発者が調整を行い発表された。

　この問題は、該当する市販のルータを使って管理画面にログイン済みのユーザーが、細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる可能性があるというもの。

複数のルータ製品におけるクリックジャッキングの脆弱性

　Japan Vulnerability Notesで公開された影響を受けるシステム（製品）によると、「アライドテレシス」「ヤマハ」の製品が「該当製品あり」となっており、「日本電気」「アイ・オー・データ機器」「バッファロー」の製品に「該当製品あり（調査中）」となっている。また、「コレガ」の製品は「該当製品無し」、「センチュリー・システムズ」と「プラネックスコミュニケーションズ」は「脆弱性情報提供済み」だという。

　なお、ヤマハとバッファローについては、同件についてサイトで告知しており、それぞれ回避策や対策済みファームウェアなどについて紹介している。