UPnP脆弱性

UPnP（ユニバーサルプラグアンドプレイ）機能をルーターなどに実装するにあたり、libupnpというライブラリを利用している場合、外部から攻撃を受けてしまう脆弱性が話題となっています。

US-CERT（米国の情報セキュリティ機関）がUPnP対応ルータが、該当するライブラリを利用している場合はUPnP機能を無効にするように勧告を出しています。

UPnPはかなりありふれた技術で、ネットワークに接続した機器を自動的に判別し、ネットワークの外部や内部での相互の接続を自動的に行えるような仕組みです。

Liveメッセンジャーや、Skypeなどで外部との接続を容易にするために、UPnPを利用するオプションがあります。

弊社ではヤマハのルーターを利用していますので、この脆弱性の影響を受けるのか、サポートに確認しました。

ヤマハでは当社で使用しているルータを含め、UPnPの実装にlibupnpの利用は行っていない旨の回答をいただきました。

ユーザーの不安に対し、迅速な対応を頂いたヤマハ株式会社様には感謝します。

国内のセキュリテイ機関、JPCERT/CCからも下記のリリースが出ております。

http://jvn.jp/cert/JVNVU90348117/