【メビウスのセキュリティホール】(執筆:office) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

【メビウスのセキュリティホール】(執筆:office)

特集 特集

 メビウスの一部機種にメール着信ランプという機能を持つものがある。その機能のためにメール着信ランプユーティリティというソフトが添付されているが、このソフトウェアについて重大なセキュリティホールが発見された[1]。
 
 既にシャープ自身で問題になる機種はリストアップされていて「メビウスメール着信ユーティリティ機能搭載機種 一覧表」[2]に発表されている。それによれば該当機種は

PC-DJ10M/PC-DJ10S, PC-DJ70C/PC-DJ70V/PC-DJ70M, PC-DJ90M/PC-DJ90V, PC-DJ100M, PC-DJ120C/PC-DJ120V, PC-FJ100R/PC-FJ100V, PC-FJ120C/PC-FJ120M/PC-FJ120U, PC-FJ140M/PC-FJ140R, PC-FJ160M, PC-MJ100M/PC-MJ100V, PC-MJ105M, PC-MJ120M/PC-MJ120R/PC-MJ120V, PC-MJ140M/PC-MJ140R, PC-MJ150M, PC-MJ700M/PC-MJ700R, PC-MJ710R, PC-PJ100H/PC-PJ100K/PC-PJ100S/PC-PJ100Y, PC-PJ120H/PC-PJ120P/PC-PJ120SPC-PJ140H/PC-PJ140K/PC-PJ140L/PC-PJ140S, PC-PN100/PC-PN200, PC-RJ900V, PC-SJ100W/PC-SJ102W, PC-SJ105M/PC-SJ105R/PC-SJ105W, PC-SJ125M/PC-SJ125R, PC-SJ127R, PC-SJ145M/PC-SJ145R/PC-SJ145V, PC-SJ165R

である。

[問題]

 このメール着信ランプユーティリティの機能にはSMTPプロクシ・POP3プロクシとしての機能があるが、これらはネットワーク的に外部(LANやインターネットに繋がった他のPC等)から使えてしまう。SMTPプロクシのポートは8025、POP3プロクシのポートは8110である。またこの機能を利用してもログは残らない。

 メール着信ランプユーティリティが機能しているメビウスを探し出されると、このセキュリティホールを利用してSPAMの中継や匿名メールを出すのに悪用される危険性がある。

 CATV回線, xDSL, フレッツISDN等常時インターネットに繋がっている場合はもちろん、数時間程度だけのダイヤルアップ接続の場合もport scan等の手法で発見されてSPAMの不正中継に使われる危険性がある。

 またファイヤーウォール内、インターネットに全く繋がっていないイントラネット内でも、組織内での匿名での嫌がらせメールに使われる可能性が高い。ログが残らないので通常の方法で犯人を特定することは不可能である。

 匿名メールによる嫌がらせやを受けたり、SPAMや大量のメールを強制的に受信させられた被害者から、危険性を放置していたことについて刑事的・民事的に問われない保証はない。SPAMの不正中継に自組織マシンが用いられて刑事的に問題になった場合、多くのマシンやデータを証拠として押収されてしまうこともある。このセキュリティホールに対策をせず、問題を放置したおけば事件の被害者ではなく、加害者になることに十分注意して欲しい。


office
academic office
http://www.office.ac/

[1] http://www.firewall.gr.jp/mlarchive/html/fw-wizard/2000/11/msg00007.html
[2] http://www.sbc.co.jp/mebius/modellist.asp
[3] http://www.sbc.co.jp/mebius/info.asp

(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×