シャープNECディスプレイソリューションズのプロジェクターに脆弱性、更新を

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月27日、「JVNVU#91077448: シャープNECディスプレイソリューションズ製プロジェクターにおけるSNMPが有効になっている問題」において、シャープNECディスプレイソリューションズの複数のプロジェクターに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、製品情報を窃取されたり、サービス運用妨害(DoS: Denial of Service)を引き起こされたりする可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

プロジェクターにおける脆弱性 | シャープNECディスプレイソリューションズ

脆弱性の情報(CVE)は次のとおり。

CVE-2024-7011 - 文書化されていない機能の脆弱性。攻撃者はデフォルトで有効の簡易ネットワーク管理プロトコル(SNMP: Simple Network Management Protocol)に、コミュニティー名「public」にてアクセスできる

○脆弱性が存在する製品

脆弱性が存在する製品は次のとおり。影響を受けるファームウェアバージョンは公開されていない。

NP-P525ULJL
NP-P525WLJL
NP-P605ULJL
NP-MC332WJL
NP-ME372WJL
NP-ME382UJL
NP-ME402XJL
NP-P554UJL
NP-P547ULJL
NP-P627ULJL
NP-PV730UL-BJL
NP-PV730UL-WJL
NP-PV800UL-BJL
NP-PV800UL-WJL
NP-MC393WJL
NP-MC453XJL
NP-ME403UJL
NP-ME423WJL
NP-PE456USLJL
NP-PE506ULJL
NP-PE506WLJL

これら製品一覧は国内向け製品のみだが、海外向け製品にも脆弱性は影響している。影響を受ける海外向け製品の一覧は「Vulnerabilities in projectors | Sharp NEC Display Solutions」から確認することができる。

対象の脆弱性はデフォルトで簡易ネットワーク管理プロトコル(SNMP)を有効化していることに原因がある。しかしながら、管理画面から機能を無効にすることはできず、修正するにはファームウェアをアップデートする必要がある。

シャープNECディスプレイソリューションズは当該製品の管理者に対してカスタマーサポートセンターに問い合わせの上、ファームウェアアップデートを実施するように推奨している。ファームウェアアップデートが困難な場合には、当該製品をインターネットから切り離して運用することを推奨している。
（後藤大地）