東芝製HEMS機器に、ユーザーブラウザーでのスクリプト実行の脆弱性、ファームウェア公開

　東芝ライテックは12月19日、同社製のホームゲートウェイ「HEM-GW16A」「HEM-GW26A」の2機種に組み込まれたソフトウェアに複数の脆弱性が存在することを公表し、対策済みのファームウェアを公開した。

ホームゲートウェイ「HEM-GW16A」

　複数の脆弱性が存在するファームウェアのバージョンは、1.2.9以前。脆弱性の内容は、対象機器内の情報やファイルへのアクセス、対象機器の操作、対象機器での任意のOSコマンド実行、機器を利用しているユーザーのWebブラウザー上での任意スクリプトの実行などがあり、対象機器以外の環境にも影響が及ぶという。

　公開された脆弱性対策済みファームウェアのバージョンは、「HEM-GW16A」が1.2.10、「HEM-GW26A」が1.3.0。各機器内でファームウェアの自動更新が許可されている場合は、24時間以内にファームウェアが自動更新されるとしている。また手動でファームウェアをダウンロードした上で、指示にしたがって更新することも可能。

　なお、各機器内でファームウェアバージョンを確認するには、機器のホーム画面をWebブラウザーで開いた上で、［設定］－[オプション設定]を選択する。

　また機器内で、ファームウェアの自動更新が許可されているかは、機器のホーム画面をWebブラウザーで開いた上で、［設定］－[オプション設定]－［ファームウェア自動更新機能］で確認可能。

　同社はHEMS事業について、9月14日には事業を2019年3月29日に終了すると発表しており、12月17日には会員向けHEMSクラウドサービスの終了を発表していた。