人気の接続ストレージに脆弱性、パスワードなしでアクセス可能に

セキュリティー研究者らは、人気のインターネット接続ストレージ4機種に、ハッカーがユーザーのプライベートデータや機密データをアクセスできる欠陥があることを発見した。

Paulos YibeloとDaniel Eschetuによると、彼らがテストしたデバイスのうち3機種——NetGear Stora、Seagate Home、およびMedion LifeCloud——を制御しているソフトウェアは、アタッカーがパスワードなしでデータを読み取り、変更、削除することができるという。

今週TechCrunchに情報提供したYibeloは、研究結果をブログでも発表し、ほかにも多くの機種が危険に晒されていると言った。 

Axentra社が開発したHipservというソフトウェアは、彼らが発見した4つの欠陥のうち3つに関して主たる責任がある。HipservはLinuxベースで、さまざまなウェブ技術——PHPを含む——を利用してウェブインターフェースを構築している。しかし研究者らは、認証なしでドライブ上のファイルをアクセスできるバグを発見した。さらに、”root” ——最高アクセス権限を持つ標準ユーザーアカウント——として自由にコマンドを発行できるため、そのドライブのデータは詮索好きな目に晒されたり破壊されたりするリスクがある。

本誌はAexentraにコメントを求めたが、本稿執筆時点でまだ返答がない。

Netgearの広報担当社は、Storaは「すでに販売が中止されたサポート対象外製品である」と言った。Seagateは本誌の締切までにコメントしなかったが、状況が変わり次第続報の予定。現在Medionを所有するLenovoはコメント要求に返答していない。

研究者らは、WD My Book Liveドライブにも別のバグがあり、アタッカーがリモートでルートアクセスを可能であることを報告している。

WD広報担当者は、この脆弱性は2010年に発売され2014年に販売中止されたデバイスに影響を与えるものであり「当社のソフトウェアサポート期間の対象外である」と言った。さらにWDは「これらの旧製品を使い続けたいユーザーは、リモートアクセスを防止するようファイアウォールを設定することを推奨する」と付け加えた。

いずれの脆弱性も、アタッカーは対象ドライブのIPアドレスを知るだけでよい。IPアドレスはShodanなどのサイトのおかげで、昨今さほど入手困難なデータではない。

影響を受けるデバイスの数は見方によって様々であり、Shodanは31万1705と言っているが、 ZoomEyeは180万デバイスに近いと発表している。

研究者らはバグについてある程度の情報を公開しているが、アタッカーが欠陥を利用するのを防ぐために、侵入コードを公開する予定はないとしている。

彼らからのアドバイス：クラウドドライブを運用しているなら、「デバイスをインターネットから切り離すこと」