2024年12月4日 追記
2024年11月13日
日頃より弊社商品をご愛用いただき誠にありがとうございます。
この度、弊社ハイブリッドLTEルーター「UD-LT1」「UD-LT1/EX」をインターネット側からVPN接続以外で設定画面へのアクセスを許可してご利用のお客様より、外部からの不正アクセスを受けている可能性がある旨のお問い合わせをいただきました。
これを受け、当該商品を安心・安全にご利用いただくため、以下対応をよろしくお願いいたします。
2024/12/4追記
本件の脆弱性およびファームウェアのリリース予定を追記しました。
2024年11月13日に本ページにてご案内済みの内容を実施することにより、不正アクセスを防止できますが、より安全にご利用いただくため、追記内容をご確認ください。
対象商品の内、インターネット側からVPN接続以外で設定画面アクセスを許可している場合、速やかに対応をお願いいたします。
2024/12/4追記
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
①当該機器のguestアカウントを知る第三者に特定のファイルにアクセスされた場合、認証情報を含む情報を窃取される。
②管理者ユーザーでログイン可能な第三者によって、任意のOSコマンドを実行される。
③遠隔の第三者によって対象機器のファイヤーウォールを無効化され、対象機器上で任意のOSコマンドを実行されたり、機器の設定を変更されたりする。
不正アクセスを行えないよう対策を行ったファームウェアを公開しました。
対象商品をご利用のお客様におかれましては、最新のファームウェアへ更新をお願いします。
対策ファームウェアの掲載場所および更新手順はこちらをご確認ください。
対策バージョン:Ver2.1.9で対策済み
2024/12/4追記
① ②の対策を行ったファームウェアを2024年12月18日に公開予定です。
2024年11月13日に本ページにてご案内済みの内容を実施することにより、不正アクセスを防止できますが、公開予定のファームウェアを適用することによりセキュリティが向上します。
公開後、対策ファームウェアの掲載場所および更新手順はこちらをご確認の上で更新をお願いします。(※③は上記のVer2.1.9で対策済みです。)
対策バージョン:Ver2.2.0
インターネットからの設定画面へのアクセスが不要な場合は、リモート管理設定にて、ご利用のインターネット接続方法(固定回線、SIM回線など)に合わせて、リモート管理の設定を無効にしてください。
リモート管理の無効設定は、こちらの手順で「WANポート」「モデム」「VPN」すべてを「無効にします」を選択し、「保存」をクリックします。
インターネットからの設定画面へのアクセスが必要な場合は、本製品のVPN機能を設定することで、本製品へのインターネットからのアクセスをVPN接続先のネットワークに限定し、セキュリティを高めることができます。
設定方法はこちら
万が一、インターネットから設定画面へのアクセスを許可しているにも関わらず、設定画面にアクセスできない場合は、本製品電源コードを抜き差しして再起動後に上記設定をご確認ください。
設定画面ログイン時のパスワードが工場出荷時設定(guest)のまま使用されている場合、もしくは推測されやすい文字列が設定されている場合、パスワードを推測されにくい複雑なもの(10桁以上で英大文字小文字、数字を組み合わせ)に変更してください。
※ログインできなくなる可能性があるため記号は使用しないでください。
パスワードの変更方法はこちら
設定画面ログイン時のパスワードが管理者ユーザー名やiobb.net等のDDNSのホスト名と類似している場合、推測されにくい複雑なもの(10桁以上で英大文字小文字、数字の組み合わせ)に変更してください。
※ログインできなくなる可能性があるため記号は使用しないでください。
パスワードの変更方法はこちらをご確認ください。
覚えのない設定がされている場合、初期化の上で再設定してください。
初期化方法はこちら
2024/12/4追記 <参考ページ>
JVN 脆弱性対策情報ポータルサイト
ご不明な点がございましたら、以下サポートセンターまでお問い合わせください。
アイ・オー・データ機器 サポートセンター
お問い合わせフォーム(メール回答)
050-3116-3025
受付時間/9:00~17:00 月~金曜日(祝日を除く)