RTシリーズのセキュリティに関するFAQ
MD5アルゴリズムの脆弱性について
| 最終変更日 | 2022/Sep/05 |
| 文書サイズ | 16K |
MD5アルゴリズムの脆弱性について
MD5アルゴリズムの衝突による以下の脆弱性が存在することが分かりました。
MD5アルゴリズムの衝突耐性の不備を利用した攻撃法により、X.509 証明書の偽造に成功したことが報告されました。
ヤマハルーターでは以下の機能でMD5アルゴリズムを使用しているため、この攻撃法により下記の影響を受ける可能性があります。
IPsec SAで使用する認証アルゴリズムにHMAC-MD5を選択した場合、受信側はデータの改竄(かいざん)を検知できない可能性があります。
| 機種 | 該当ファームウェア |
| RTX5000 | 全リビジョン |
| RTX3500 | |
| RTX3000 | |
| RTX2000 | |
| RTX1500 | |
| RTX1300 | |
| RTX1220 | |
| RTX1210 | |
| RTX1200 | |
| RTX1100 | |
| RTX1000 | |
| RTX830 | |
| RTX810 | |
| FWX120 | |
| SRT100 | |
| NVR700W | |
| RT107e | |
| RTV700 | |
| RT105シリーズ | |
| RT300i | |
| RT140シリーズ |
ipsec sa policyコマンドのAH_ALGORITHMのパラメータをsha-hmac(HMAC-SHA)に設定します。
設定例:
ipsec sa policy POLICY_ID GATEWAY_ID ah sha-hmac
または
ipsec sa policy POLICY_ID GATEWAY_ID esp ESP_ALGORITHM sha-hmac
ISAKMP SAで使用するハッシュアルゴリズムにMD5を選択した場合、受信側はデータの改竄(かいざん)を検知できない可能性があります。
| 機種 | 該当ファームウェア |
| RTX5000 | 全リビジョン |
| RTX3500 | |
| RTX3000 | |
| RTX2000 | |
| RTX1500 | |
| RTX1300 | |
| RTX1220 | |
| RTX1210 | |
| RTX1200 | |
| RTX1100 | |
| RTX1000 | |
| RTX830 | |
| RTX810 | |
| FWX120 | |
| SRT100 | |
| NVR700W | |
| RT107e | |
| RTV700 | |
| RT105シリーズ | |
| RT300i | |
| RT140シリーズ |
ipsec ike hash コマンドのALGORITHMのパラメータをsha(SHA-1)に設定します。
設定例:
ipsec ike hash GATEWAY_ID sha
PPPの通信を行う際に、pp auth accept、pp auth requestコマンドで認証方式にCHAPを指定している場合、なりすましを受ける可能性があります。
| 機種 | 該当ファームウェア |
| RTX5000 | 全リビジョン |
| RTX3500 | |
| RTX3000 | |
| RTX2000 | |
| RTX1500 | |
| RTX1300 | |
| RTX1220 | |
| RTX1210 | |
| RTX1200 | |
| RTX1100 | |
| RTX1000 | |
| RTX810 | |
| FWX120 | |
| SRT100 | |
| NVR700W | |
| NVR510 | |
| NVR500 | |
| RT58i | |
| RT107e | |
| RT250i | |
| RTV700 | |
| RT57i | |
| RT105シリーズ | |
| RT300i | |
| RT140シリーズ |
OSPFを使用する際に、ospf areaコマンドで認証アルゴリズムをMD5に設定していると、なりすましを受ける可能性があります。
| 機種 | 該当ファームウェア |
| RTX5000 | 全リビジョン |
| RTX3500 | |
| RTX3000 | |
| RTX2000 | |
| RTX1500 | |
| RTX1300 | |
| RTX1220 | |
| RTX1210 | |
| RTX1200 | |
| RTX1100 | |
| RTX1000 | |
| RTX810 | |
| FWX120 | |
| SRT100 | |
| NVR700W | |
| RT107e | |
| RT250i | |
| RT105シリーズ | |
| RT300i | |
| RT140シリーズ |
RADIUSを使用する際にradius secretコマンドを設定していると、なりすましを受ける可能性があります。
| 機種 | 該当ファームウェア |
| RTX5000 | 全リビジョン |
| RTX3500 | |
| RTX3000 | |
| RTX1500 | |
| RTX1300 | |
| RTX1220 | |
| RTX1210 | |
| RTX1200 | |
| RTX1100 | |
| RTX1000 | |
| RTX810 | |
| FWX120 | |
| SRT100 | |
| NVR700W | |
| RT250i | |
| RT105シリーズ | |
| RT300i | |
| RT140シリーズ |
SSHでルーターにログインする場合、メッセージ認証方式にHMAC-MD5を使用していると、改竄(かいざん)されたメッセージを検知できない可能性があります。
| 機種 | 該当ファームウェア |
| RTX5000 | 全リビジョン |
| RTX3500 | |
| RTX3000 | |
| RTX1300 | |
| RTX1220 | |
| RTX1210 | |
| RTX1200 | |
| RTX810 | |
| FWX120 | |
| SRT100 | |
| YSL-V810 | |
| NVR700W | |
| NVR510 | |
| NVR500 | |
| RT58i | |
| RTX1500 | Rev.8.03.37以降 |
| RTX1100 | |
| RT107e | Rev.8.03.42以降 |
電話帳サーバー機能を使用する際に、sip userコマンドで認証方式にdigest認証を使用していると、なりすましを受ける可能性があります。
| 機種 | 該当ファームウェア |
| RTV01 | 全リビジョン |
| YSL-V810 |
[ FAQ for RT-Series ]
[ FAQ for Security / VPN(IPsec) / RADIUS / Intro / Install / Config ]
[ 技術資料 / OSPF / SSHサーバ機能 ]