ベルギーの消費者団体Testaankoopはこのほど、「Routers van Linksys maken je kwetsbaar voor hackers」において、LinksysのメッシュWi-Fiルータが初期設定時に機密情報を暗号化せずAmazonサーバに送信していると報じた。
問題の概要
TestaankoopによるとLinksysの「Velop Pro 6E」および「Velop Pro 7」は初期設定時にSSIDとパスワードを含む機密情報を暗号化せずに米国のAmazonサーバに送信するという。これは中間者攻撃(MITM: Man-in-the-middle attack)可能な攻撃者が情報を窃取できることを意味しており、通信の傍受または改ざんにつながる可能性がある。
問題の影響を受ける製品
問題の影響を受けるとされる製品は次のとおり。この一覧は実際に試験が行われた製品のみを掲載している。パック数の異なる同系統の製品も同じ問題を抱えているとみられる。
- Linksys Velop Pro 6E MX6201-KE (1パック)
- Linksys Velop Pro 6E MX6203-KE (3パック)
- Linksys Velop Pro 7 (3パック)
Testaankoopは2023年11月に問題をLinksysに通知したが、改善されなかったと報告している。通知後にリリースされたファームウェアからも同じ問題が検出されており、現在の最新ファームウェアで改善されているかは明らかになっていない。少なくとも、Testaankoopの試験では次のファームウェアバージョンにおいて問題の発生が確認されている。
- Linksys Velop Pro 6E - V1.0.8 MX6200_1.0.8.215731
- Linksys Velop Pro 7 - 1.0.10.215314
対策
機密情報はアプリを使用して初期設定した場合に送信される。そのため、Webブラウザから本体の設定画面にアクセスし、SSIDとパスワードを設定することで影響を回避できる。
Testaankoopは長期間の集中的なテストを実施しており、その結果これら製品に不正アクセスやデータ侵害の重大なリスクがあると結論付けている。同団体はこの結論に基づき、消費者に対してこれら製品を購入しないよう強く推奨している。