IPAは7月29日、アイ・オー・データ機器が提供する複数のネットワーク・カメラ「Qwatch」シリーズに、 特定のURLへアクセスすることで、認証を回避してパスワードを含む内部設定情報を取得可能な脆弱性が存在すると発表した。

この脆弱性により、認証情報を含む設定内容を取得され、結果として、取得された認証情報を使用して該当製品において任意の操作を実行されるおそれがある。

該当する製品は「TS-WPTCAM」「TS-PTCAM」「TS-PTCAM/POE」「TS-WLC2」「TS-WLCAM」「TS-WLCAM/V」。

TS-WPTCAM

TS-PTCAM、TS-PTCAM/POE

TS-WLC2

TS-WLCAM、TS-WLCAM/V

影響を受けるファームウェアは、「TS-PTCAM ファームウェアバージョン 1.08 およびそれ以前」「TS-PTCAM/POE ファームウェアバージョン 1.08 およびそれ以前」「TS-WLC2 ファームウェアバージョン 1.02 およびそれ以前」「TS-WLCAM ファームウェアバージョン 1.06 およびそれ以前」「TS-WLCAM/V ファームウェアバージョン 1.06 およびそれ以前」「TS-WPTCAM ファームウェアバージョン 1.08 およびそれ以前」。

対策としては、それぞれ最新のバージョンのファームウェアにアップデートする必要がある。

なお、アイ・オー・データ機器はセキュリティ強化のため、管理者のパスワード変更を促している。

アイ・オー・データ機器のお知らせページ