Arlo 初期パスワード脆弱性について

Arlo 初期パスワードの脆弱性として、攻撃者が Arlo カメラ、ベースステーションに容易にログインしトラフィックや画像を取得できることが報告されております。

以下の条件に合致する場合、脆弱性に該当する可能性があります。

・ユーザーが初めてベースステーション、またはArlo Q、Arlo Q Plus に接続したときに、ベースステーションやカメラの初期パスワードで容易にアクセスできます。
・ユーザーが初期化を行った場合、初期パスワードにリセットされ、容易にアクセスできます。
・ユーザーがArlo ユーザーインターフェイスを使ってアカウントを削除した場合、ベースステーションは初期化され、初期パスワードにリセットされるため容易にアクセス可能となります。


この脆弱性は、以下の Arlo 製品とファームウェアバージョンにて発生する可能性があります。

・Arlo ベースステーション
 製品型番: VMS3xx0, VMK3xx0, VMB30x0
 ファームウェアバージョン: 1.7.5_6178 あるいはそれ以前のバージョン

・Arlo Q カメラ
 製品型番: VMC3040
 ファームウェアバージョン: 1.8.0_5551 あるいはそれ以前のバージョン

・Arlo Q Plus カメラ
 製品型番: VMC3040s
 ファームウェアバージョン: 1.8.1_6094 あるいはそれ以前のバージョン

Arlo のベースステーションは2016年10月10日以降、少なくとも一日中インターネット接続ができれば、ファームウェアが自動的にアップデートされます。
Arlo Q, Arlo Q Plus は2016年11月9日以降、少なくとも一日中インターネット接続ができれば、ファームウェアが自動的にアップデートされます。

アップデートが適用されている Arlo に関しては、初期パスワードの脆弱性対策ができております。
アップデートされている場合は、作業を行う必要はありません。


【バージョン確認方法、アップグレード方法】
・Arlo ベースステーション
1. arlo.netgear.com へアクセスし、ログインします。
2. 「設定」 > 「マイデバイス」 から Arlo ベースステーションを選択します。
3. 「デバイス情報」を選択します。
    ファームウェアバージョンが 1.8.1_9169 以上であれば、対策済みとなります。
    ファームウェアバージョンが 1.8.1_9169 以下であれば、以下の手順に従いアップデートします。
    https://community.netgear.com/t5/Arlo-%E7%9F%A5%E8%AD%98%E3%83%99%E3%83%BC%E3%82%B9/%E3%81%A9%E3%81%AE%E3%82%88%E3%81%86%E3%81%AB%E3%81%97%E3%81%A6Arlo%E3%81%AE%E3%83%95%E3%82%A1%E3%83%BC%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E3%82%92%E6%89%8B%E5%8B%95%E3%81%A7%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E3%81%97%E3%81%BE%E3%81%99%E3%81%8B/ta-p/1150096
    
4. 複数ベースステーションがある場合、手順1-3を繰り返します。

・Arlo Q, Arlo Q Plus

1. arlo.netgear.com へアクセスし、ログインします。
2. 「設定」 > 「マイデバイス」 から Arlo Q あるいは Arlo Q Plus を選択します。
3. 「デバイス情報」を選択します。
    ファームウェアバージョンが 1.8.3_9642 以上であれば、対策済みとなります。
    ファームウェアバージョンが 1.8.3_9642 以下であれば、以下の手順に従いアップデートします。
    https://community.netgear.com/t5/Arlo-%E7%9F%A5%E8%AD%98%E3%83%99%E3%83%BC%E3%82%B9/%E3%81%A9%E3%81%AE%E3%82%88%E3%81%86%E3%81%AB%E3%81%97%E3%81%A6Arlo%E3%81%AE%E3%83%95%E3%82%A1%E3%83%BC%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E3%82%92%E6%89%8B%E5%8B%95%E3%81%A7%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E3%81%97%E3%81%BE%E3%81%99%E3%81%8B/ta-p/1150096
    
4. 複数カメラがある場合、手順1-3を繰り返します。
   
Arlo Q, Arlo Q Plus がインターネットに接続していない場合、以下のサポートサイトを参考に設定を行い、ファームウェアのアップグレードを行って下さい。

https://www.netgear.jp/support/info/FAQ/Arlo_faq.html


英語リンク:
https://kb.netgear.com/000030731/Arlo-WiFi-Default-Password-Security-Vulnerability