複数の三菱電機製家電製品のWi-Fi接続処理にデッドロックの脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は11月15日、複数の三菱電機製家電製品のWi-Fi接続処理におけるデッドロックの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

ルームエアコン・無線LANアダプター
冷蔵庫
ヒートポンプ給湯機・HEMS対応アダプター、無線LANアダプター
バス乾燥・暖房・換気システム
三菱HEMS用 制御アダプター、無線LANアダプター
ロスナイセントラル換気システム
換気扇用・ロスナイ用スマートスイッチ
※影響を受ける製品、型番、バージョンは多岐にわたり、詳細は三菱電機からの情報を参照

　三菱電機株式会社が提供する複数の家電製品には、Realtek社製チップにおける脆弱性（CVE-2022-34326）に起因する脆弱性が存在し、Wi-Fiの電波が届く範囲内にいる攻撃者が特別に細工したパケットを送信しアクセスポイントモードの動作中に受信した場合、当該製品のWi-Fi通信にサービス運用妨害（DoS）状態となり、当該製品との間でWi-Fi通信ができなり、機器登録ができなくなる可能性がある。なおアクセスポイントモードは、機器登録の際に使用するモードで、通常の製品使用では使用しないため、本脆弱性の影響を受けない。

　JVNでは、ソフトウェアアップデートが提供されている製品に関しては開発者が提供する情報をもとにアップデートを、アップデートが提供されていない製品に関しては、当該製品のアクセスポイントモードのSSID及びKEYを不特定の第三者に知られないようにする、OS、ソフトウェア、ウィルス対策ソフトなどを最新版にアップデートする、信頼できない発信元からの不審な添付ファイルやハイパーリンクを開かないようにする等の回避策を適用するよう呼びかけている。