【メビウスのセキュリティホール】(執筆:office) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

【メビウスのセキュリティホール】(執筆:office)

特集 特集

 メビウスの一部機種にメール着信ランプという機能を持つものがある。その機能のためにメール着信ランプユーティリティというソフトが添付されているが、このソフトウェアについて重大なセキュリティホールが発見された[1]。
 
 既にシャープ自身で問題になる機種はリストアップされていて「メビウスメール着信ユーティリティ機能搭載機種 一覧表」[2]に発表されている。それによれば該当機種は

PC-DJ10M/PC-DJ10S, PC-DJ70C/PC-DJ70V/PC-DJ70M, PC-DJ90M/PC-DJ90V, PC-DJ100M, PC-DJ120C/PC-DJ120V, PC-FJ100R/PC-FJ100V, PC-FJ120C/PC-FJ120M/PC-FJ120U, PC-FJ140M/PC-FJ140R, PC-FJ160M, PC-MJ100M/PC-MJ100V, PC-MJ105M, PC-MJ120M/PC-MJ120R/PC-MJ120V, PC-MJ140M/PC-MJ140R, PC-MJ150M, PC-MJ700M/PC-MJ700R, PC-MJ710R, PC-PJ100H/PC-PJ100K/PC-PJ100S/PC-PJ100Y, PC-PJ120H/PC-PJ120P/PC-PJ120SPC-PJ140H/PC-PJ140K/PC-PJ140L/PC-PJ140S, PC-PN100/PC-PN200, PC-RJ900V, PC-SJ100W/PC-SJ102W, PC-SJ105M/PC-SJ105R/PC-SJ105W, PC-SJ125M/PC-SJ125R, PC-SJ127R, PC-SJ145M/PC-SJ145R/PC-SJ145V, PC-SJ165R

である。

[問題]

 このメール着信ランプユーティリティの機能にはSMTPプロクシ・POP3プロクシとしての機能があるが、これらはネットワーク的に外部(LANやインターネットに繋がった他のPC等)から使えてしまう。SMTPプロクシのポートは8025、POP3プロクシのポートは8110である。またこの機能を利用してもログは残らない。

 メール着信ランプユーティリティが機能しているメビウスを探し出されると、このセキュリティホールを利用してSPAMの中継や匿名メールを出すのに悪用される危険性がある。

 CATV回線, xDSL, フレッツISDN等常時インターネットに繋がっている場合はもちろん、数時間程度だけのダイヤルアップ接続の場合もport scan等の手法で発見されてSPAMの不正中継に使われる危険性がある。

 またファイヤーウォール内、インターネットに全く繋がっていないイントラネット内でも、組織内での匿名での嫌がらせメールに使われる可能性が高い。ログが残らないので通常の方法で犯人を特定することは不可能である。

 匿名メールによる嫌がらせやを受けたり、SPAMや大量のメールを強制的に受信させられた被害者から、危険性を放置していたことについて刑事的・民事的に問われない保証はない。SPAMの不正中継に自組織マシンが用いられて刑事的に問題になった場合、多くのマシンやデータを証拠として押収されてしまうこともある。このセキュリティホールに対策をせず、問題を放置したおけば事件の被害者ではなく、加害者になることに十分注意して欲しい。


office
academic office
http://www.office.ac/

[1] http://www.firewall.gr.jp/mlarchive/html/fw-wizard/2000/11/msg00007.html
[2] http://www.sbc.co.jp/mebius/modellist.asp
[3] http://www.sbc.co.jp/mebius/info.asp

(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×