パスワードが「password」「8文字未満」はダメよ ～ バッファロー製法人向け VPNルータ製品でファームウェア改版による仕様変更

　株式会社バッファローは3月10日、法人向けVPNルータ製品のファームウェア改版による仕様変更について発表した。対象製品は下記の通り。

VR-U300W
VR-U500X
WLS-ADT
WLS-ADT/LW

　同社の法人向けVPNルータ製品では、セキュリティ強化のため2025年3月31日リリース予定のファームウェア Ver.1.40 および WLS-ADT Ver.4.5.8 で重要な仕様変更を実施する。

　対象製品の管理・参照パスワードのいずれかが「password」という文字列、あるいは8文字未満のパスワードを設定している顧客、またはWLS-ADTを使用している顧客が、ファームウェアを Ver.1.40 以降のバージョンへ更新すると、WLS-ADTと通信できなくなる、パスワードの変更を行うまで各種設定変更が行えなくなる等の影響を受ける場合があり、該当する顧客は事前に設定変更等を行うよう呼びかけている。

　ファームウェア改版で変更となる内容は下記の通り。

1.パスワードポリシーの変更
ファームウェア Ver.1.40 未満では管理・参照パスワードとして8文字未満のパスワード設定を許可していたが、Ver.1.40 以降からは8～32文字、かつ「password」（すべて小文字）という文字列の禁止に変更。

パスワードポリシーの変更に伴い、WLS-ADTから機器の管理パスワードを設定するときに使用できる文字の要件が6～32文字から、Ver.4.5.8以降では8～32文字、かつ「password」（すべて小文字）という文字列の禁止に変更。

2.WLS-ADTとの通信プロトコルをTLS 1.3に変更
WLS-ADT Ver.4.4.22 以前を利用する顧客はファームウェアを Ver.1.40 へ更新後に対象製品を管理できなくなり、引き続き対象製品を管理するためには、WLS-ADT Ver.4.5.0 以降への更新が必要となる。

3.Telnetの初期値を無効に変更
ファームウェア Ver.1.40 に更新してもTelnet が自動的に無効化されることはないが、セキュリティ強化の観点からTelnet の代わりに SSH の使用を推奨。

4.ファームウェアのバージョンダウン禁止
ファームウェア Ver.1.40 更新後は Ver.1.40 未満のファームウェアに戻せなくなる。