【メビウスのセキュリティホール】(執筆:office) | ScanNetSecurity
2026.07.11(土)

【メビウスのセキュリティホール】(執筆:office)

 メビウスの一部機種にメール着信ランプという機能を持つものがある。その機能のためにメール着信ランプユーティリティというソフトが添付されているが、このソフトウェアについて重大なセキュリティホールが発見された[1]。
 
 既にシャープ自身で問題になる機種はリ

特集 特集
 メビウスの一部機種にメール着信ランプという機能を持つものがある。その機能のためにメール着信ランプユーティリティというソフトが添付されているが、このソフトウェアについて重大なセキュリティホールが発見された[1]。
 
 既にシャープ自身で問題になる機種はリストアップされていて「メビウスメール着信ユーティリティ機能搭載機種 一覧表」[2]に発表されている。それによれば該当機種は

PC-DJ10M/PC-DJ10S, PC-DJ70C/PC-DJ70V/PC-DJ70M, PC-DJ90M/PC-DJ90V, PC-DJ100M, PC-DJ120C/PC-DJ120V, PC-FJ100R/PC-FJ100V, PC-FJ120C/PC-FJ120M/PC-FJ120U, PC-FJ140M/PC-FJ140R, PC-FJ160M, PC-MJ100M/PC-MJ100V, PC-MJ105M, PC-MJ120M/PC-MJ120R/PC-MJ120V, PC-MJ140M/PC-MJ140R, PC-MJ150M, PC-MJ700M/PC-MJ700R, PC-MJ710R, PC-PJ100H/PC-PJ100K/PC-PJ100S/PC-PJ100Y, PC-PJ120H/PC-PJ120P/PC-PJ120SPC-PJ140H/PC-PJ140K/PC-PJ140L/PC-PJ140S, PC-PN100/PC-PN200, PC-RJ900V, PC-SJ100W/PC-SJ102W, PC-SJ105M/PC-SJ105R/PC-SJ105W, PC-SJ125M/PC-SJ125R, PC-SJ127R, PC-SJ145M/PC-SJ145R/PC-SJ145V, PC-SJ165R

である。

[問題]

 このメール着信ランプユーティリティの機能にはSMTPプロクシ・POP3プロクシとしての機能があるが、これらはネットワーク的に外部(LANやインターネットに繋がった他のPC等)から使えてしまう。SMTPプロクシのポートは8025、POP3プロクシのポートは8110である。またこの機能を利用してもログは残らない。

 メール着信ランプユーティリティが機能しているメビウスを探し出されると、このセキュリティホールを利用してSPAMの中継や匿名メールを出すのに悪用される危険性がある。

 CATV回線, xDSL, フレッツISDN等常時インターネットに繋がっている場合はもちろん、数時間程度だけのダイヤルアップ接続の場合もport scan等の手法で発見されてSPAMの不正中継に使われる危険性がある。

 またファイヤーウォール内、インターネットに全く繋がっていないイントラネット内でも、組織内での匿名での嫌がらせメールに使われる可能性が高い。ログが残らないので通常の方法で犯人を特定することは不可能である。

 匿名メールによる嫌がらせやを受けたり、SPAMや大量のメールを強制的に受信させられた被害者から、危険性を放置していたことについて刑事的・民事的に問われない保証はない。SPAMの不正中継に自組織マシンが用いられて刑事的に問題になった場合、多くのマシンやデータを証拠として押収されてしまうこともある。このセキュリティホールに対策をせず、問題を放置したおけば事件の被害者ではなく、加害者になることに十分注意して欲しい。


office
academic office
http://www.office.ac/

[1] http://www.firewall.gr.jp/mlarchive/html/fw-wizard/2000/11/msg00007.html
[2] http://www.sbc.co.jp/mebius/modellist.asp
[3] http://www.sbc.co.jp/mebius/info.asp

(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/


《ScanNetSecurity》

PageTop

アクセスランキング

  1. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

  2. 東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

    東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

  3. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  4. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  5. 常石グループへのフィッシングメールで認証情報が漏えい、再発防止策を発表

    常石グループへのフィッシングメールで認証情報が漏えい、再発防止策を発表

ランキングをもっと見る
PageTop