独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月25日、シャープ製ルータ製品における一部のweb APIに対する認証欠如の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。財前匠汰氏が報告を行っている。影響を受けるシステムは以下の通り。
・株式会社NTTドコモ向け
home 5G HR01 バージョン 38JP_0_490およびそれ以前
home 5G HR02 バージョン S5.A1.00およびそれ以前
Wi-Fi STATION SH-52A バージョン 38JP_2_03Jおよびそれ以前
Wi-Fi STATION SH-52B バージョン S3.87.15およびそれ以前
Wi-Fi STATION SH-54C バージョン S6.64.00およびそれ以前
・ソフトバンク株式会社向け
5Gモバイルルーター SH-U01 バージョン S4.48.00およびそれ以前
Pocket WiFi 5G A503SH バージョン S7.41.00およびそれ以前
・KDDI株式会社向け
Speed Wi-Fi 5G X01 バージョン 3RJP_2_03Iおよびそれ以前
シャープ株式会社が提供する複数のルータ製品では、web APIの一部を認証なしに使用可能で、これらのweb APIでは当該機器に関する情報を提供しており、また、管理者パスワードは当該機器に関する情報に基づいて初期設定されている。
想定される影響としては、当該機器に関する情報を認証なしに取得される可能性があり、管理者パスワードを初期設定のまま使用している場合、当該機器が不正アクセスを受ける可能性がある。
JVNでは、開発者が提供する情報をもとにファームウェアを最新版へアップデートするよう呼びかけている。なお、Wi-Fi STATION SH-52AとSpeed Wi-Fi 5G X01はサポートサービスが終了しており、アップデートの提供はない。
