Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

家電がインターネットの脅威となる日

昨年末あたりからハードディスクレコーダーがブレイクしているという。「デジタルレコーダー」「薄型テレビ」「デジカメ」で、「デジタル三種の神器」と呼ばれているそうだ。販売好調で、日本経済の牽引役ともなっている。

たしかにハードディスクへの録画は便利だ。空テープを用意することなく、容量がある限り録り溜められる。巻き戻しも早送りも必要ない。ランダムアクセスで録画した番組を瞬時に呼び出せる。

そしてもっと便利なのが「ネットワーク機能」だ。インターネットに接続することで、番組表をダウンロードできたり、外部から録画予約なども行える。

しかし便利な反面、新たな問題も浮上したいる。IT保険ドットコムでもニュースでお伝えしたが、東芝のハードディスクDVDレコーダーにスパムの踏み台となる脆弱性があり、実際に被害が発生しているのだ。これは9月中旬くらいからブログなどで話題になりはじめ、10月4日に製造元である東芝からアナウンスが行われた。

ハードディスクDVDレコーダーに脆弱性 - 東芝が注意喚起
http://www.security-next.com/000838.html

問題は深刻だ。東芝ではソフトウェアのアップデートを呼びかけ、デフォルトでは設定されていないセキュリティ機能を利用するよう訴えている。

家電が「家電」たる所以を考えると……

たしかにコンピュータでは、セキュリティパッチの適用やアンチウイルスソフトの定義ファイル更新は、もはや「常識」となりつつある。

しかしそれでも、十分な対策を行っていないユーザーも多く、被害が発生している。ただでさえそのような状態なのだ。デジタル家電のユーザーが不正アクセスといったネットワークの脅威に問題意識を持っているであろうか?

そもそも、「なじみやすいインターフェイス」「誰でも簡単に使える」、それが「家庭向け電化製品」たる所以なのだ。説明書さえ読まずに利用する人も多数いるはずだ。

しかし、基本的に利便性とセキュリティは相反する関係である。だからこそ家電では、今回のようにデフォルトでセキュリティ設定がオフになっていたり、共通のパスワードが割り振られていたりするのだ。

家電製品のユーザーレベルを考えると、日々セキュリティニュースをチェックしているとは到底思えない。また、偶然ニュースを見たとしても、セキュリティに興味がなく、その問題の重大さに気がつかないユーザーも少なからずいるだろう。なにしろ表面上、問題なく使えるからだ。

今回の一件が簡単なアナウンスに止まり、このまま放置されれば、以降も踏み台となり続け、スパム攻撃の温床となってしまう可能性もある。

ネットワーク世界の攻撃者から見れば、家電として販売されていようが、コンピュータとして販売されていようが関係ない。ネットワーク機器としてクラッキングの対象であれば良いだけのことだ。

ネットワーク機器の宿命

この問題は、今回の製品に限った話ではない。今後、多くのネットワーク家電が、不正アクセスをはじめ、さまざまな脅威にさらされるであろう。それは、「ウイルス」だったり、「情報漏洩」であったり、コンピュータと同様のリスクを抱える。

実際、携帯電話やPDAでは、コンセプトウイルスが登場、そしてついに本格的なトロイの木馬が登場した。

コンピュータの世界では、7月よりIPAが脆弱性の届け出制度の運用を開始している。脆弱性のチェックなど、発表までに時間がかかるケースもあり、運用において試行錯誤が行われているようだが、外国のベンダーに脆弱性を指摘するなど、積極的な取り組みが行われている。

今後は、ネットワークに接続される家電についても、同様に脆弱性情報を発信しなければならないだろう。しかし、先に書いたように、家電ユーザーはパソコンユーザーと比較し、セキュリティ問題に対して受け身だ。家電をパソコンを同じレベルでは扱えない。

シンプルな脆弱性でも、ユーザーからのアクションを待つのではなく、メーカーが積極的に「リコール」など実施する必要がある。幅広く情報公開を行い、場合によっては、回収、修理対応しなければ、脆弱性が放置することにもなりかねない。

その点携帯電話業界は、端末に不具合があった際、回収や修理など、うまく処理しているように見える。搭載ソフトウェアに不具合があれば、ユーザーがネットワーク上からパッチをダウンロードして、ユーザー自身でも対応できるし、操作が苦手なユーザーには持ち込み修理でも対応してくれる。

ユーザーへの告知も、ネットワーク上で告知できたり、請求書に同梱するなど、インフラを上手に活用している。

責任の所在は? 求められるメーカー対応

もしネットワーク家電が踏み台となり、第三者に被害が発生したら、責任の所在はどこになるのか。製造元か? 踏み台となったユーザーか?

一般な企業のサーバの踏み台となり、犯人がわからなければ、管理責任を怠ったとして、踏み台となった企業が損害賠償を請求されるケースもある。しかし、家電を所有する個人に対し、企業と同様の管理責任を問うことができるのであろうか。あまり現実的とは思えない。むしろ、ユーザーへの注意喚起を怠ったメーカーこそ、責任を追及される可能性がある。

いずれにしても、確実に家電メーカーは、セキュリティ問題へ本気で取り組まねばならない。サポート体勢についても、一層の強化が必要となり、情報開示幅広く行う仕組みが必要となるだろう。今回の一件は、重要な事例となりそうだ。どのように収束するか、見守っていきたい。

(Security NEXT - 2004/10/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

2017年度のEDR運用サービス市場は3.5億円 - 2022年には50億円規模に
学生や教職員の個人情報含むPCを紛失 - 北海道科学大
パスワードリスト攻撃の事前スクリーニング、大胆なその手口
児童や保護者、通報者情報など含む児童虐待関連資料を一時紛失 - 滋賀県
「Mirai」亜種に狙われる脆弱IoT端末、50万台以上稼働か
就職支援サイトのシステムに不具合、別人にメール送信 - 長崎県
AIに関する課題、「理解不足」が約7割 - 導入効果への不安も
「MUFGカード」装うフィッシング - 「持続する」ボタンに短縮URL
主要50脆弱性、34%は開示日にエクスプロイトが公開 - 76%で攻撃者が防御側を先行
「Winny」などのファイル共有ソフト、GWに約9万人が使用