セキュリティアドバイザリー

Arlo製品のセキュリティ

Arloの使命は、お客様の大切なものをつなぎ、それを守ることにあります。その達成に向け、お客様から確固たる信頼を得られるよう、お客様のプライバシーとセキュリティを保護する安全性の高い製品とサービスを提供しています。
お客様からご報告いただいたセキュリティに関する懸念は非常に重要な情報です。Arloではクラウド製品を定期的に監視することで、最新の脅威を把握しています。新たなセキュリティ問題に対しては事前に対策することに努めています。Arloは、セキュリティ調査会社やパートナーとの協力のものと、常に最新のセキュリティ動向を把握できるよう取り組んでいます。Arlo製品の安全性を保上では、コミュニティの揚力も非常に重要と考えています。

お客様を守るため、修正プログラムの公開前に、Arloがセキュリティ脆弱性について公表することはありません。修正プログラムが公開されると、インターネットに接続されたすべてのArloデバイス、Arloモバイルアプリケーション、Arloサービスに対して、セキュリティアップデートが自動的にリリースされます。

リリース日

セキュリティアドバイザリー

12/15/2021 Apache Log4j (CVE-2021-44228およびCVE-2021-45046) の脆弱性に関するセキュリティアドバイザリー
7/12/2021 Wi-Fiに対する集約およびフラグメンテーション攻撃に対するセキュリティアドバイザリー
6/10/2021 Arlo Q PlusのSSHにおけるハードコードされた認証情報の使用による権限昇格に関するセキュリティアドバイザリー
7/1/2019 ネットワーク設定の不備および不十分なUART保護メカニズムに関するセキュリティアドバイザリー
12/12/2018 Arlo WiFi デフォルトパスワード セキュリティの脆弱性
6/29/2018 セキュリティアドバイザリー (PSV-2017-2837)


脆弱性の報告
開示情報の信頼性向上のためのガイドライン:
Arlo製品の潜在的なセキュリティ脆弱性の開示に関してご連絡をいただきありがとうございます。Arloでは、正式なレポートに対する調査を行い、いかなる脆弱性も迅速に対応するよう努めています。レポートの信頼性向上のため、弊社では、以下の「開示情報の信頼性向上のためのガイドライン」に従う限りにおいて、報告者に対する法的措置を講じないこと、また、法執行機関に報告者の調査を依頼しないことをポリシーとして定めています。

  • 脆弱性の再現および検証に必要となる情報や POC (概念実証) を含む、脆弱性に関する詳細な情報を提供すること。
  • プライバシーの侵害、データの破壊、弊社サービスへの妨害または品質低下を招く行為を行わないこと。
  • 自身のものではないデータを改変し、これにアクセスしないこと。
  • 報告者が発見したいかなる脆弱性に関する情報も、問題が解決されるまでは、報告者とArloとの間の機密情報として取り扱うこと。
  • 違法であると認識している行為、または合理的に違法と考えられる行為を直ちに中止すること。


Arloのお客様:

セキュリティに関するすべての懸念事項については、Arloのカスタマーサービス (customerservice@arlo.com) までご連絡ください。

セキュリティ調査会社:
Arloの製品セキュリティチームは、Arloの製品とサービスに影響を及ぼすセキュリティ脆弱性に関するすべてのレポートを調査します。セキュリティ調査会社の関係者の方がArloの製品やサービスでセキュリティ脆弱性を発見した場合は、以下のいずれかの方法でご報告ください。

  • BugCrowd上で運営されている脆弱性報奨金 (現金報酬) プログラム: https://bugcrowd.com/arlo (推奨)
  • 下記のレポートフォーム (匿名での報告が可能です)
  • Arloの製品セキュリティチームに直接報告される場合は、security@arlo.com までご連絡


PGP鍵情報
脆弱性に関するレポートをメールで送信する場合は、機密情報の暗号化のため、Arloの製品セキュリティのPGP鍵を使用できます。