やっぱりUPnPは「無効」に設定すべき?という話について調査してみた「「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた」とう記事を書きました。ここでは、ニュースで騒がれている脆弱性は、「WAN側にUPnPのサービスを公開しなければ防げる」という話になりました。しかし、実は今回のニュース以前から、「WAN側にUPnPのサービスを公開していなくてもUPnPを悪用される危険性がある」脆弱性が指摘されていました。つまり、「WAN側のUPnPのサービスを公開しないようにする」のは今回のニュースの問題(WANからの攻撃)を防ぐためには有効であっても、そもそも別の脆弱性があるため「UPnPを無効にすべき」、なようなのです。しかし、この危険性が公開されたのは2008年1月で丸4年前(そもそも度が高すぎる)。「もしかしたら今は大丈夫かも」という可能性もあるため、追跡調査してみました。 ※謝辞:この脆弱性の存在については @hamano
