Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

家電がインターネットの脅威となる日

昨年末あたりからハードディスクレコーダーがブレイクしているという。「デジタルレコーダー」「薄型テレビ」「デジカメ」で、「デジタル三種の神器」と呼ばれているそうだ。販売好調で、日本経済の牽引役ともなっている。

たしかにハードディスクへの録画は便利だ。空テープを用意することなく、容量がある限り録り溜められる。巻き戻しも早送りも必要ない。ランダムアクセスで録画した番組を瞬時に呼び出せる。

そしてもっと便利なのが「ネットワーク機能」だ。インターネットに接続することで、番組表をダウンロードできたり、外部から録画予約なども行える。

しかし便利な反面、新たな問題も浮上したいる。IT保険ドットコムでもニュースでお伝えしたが、東芝のハードディスクDVDレコーダーにスパムの踏み台となる脆弱性があり、実際に被害が発生しているのだ。これは9月中旬くらいからブログなどで話題になりはじめ、10月4日に製造元である東芝からアナウンスが行われた。

ハードディスクDVDレコーダーに脆弱性 - 東芝が注意喚起
http://www.security-next.com/000838.html

問題は深刻だ。東芝ではソフトウェアのアップデートを呼びかけ、デフォルトでは設定されていないセキュリティ機能を利用するよう訴えている。

家電が「家電」たる所以を考えると……

たしかにコンピュータでは、セキュリティパッチの適用やアンチウイルスソフトの定義ファイル更新は、もはや「常識」となりつつある。

しかしそれでも、十分な対策を行っていないユーザーも多く、被害が発生している。ただでさえそのような状態なのだ。デジタル家電のユーザーが不正アクセスといったネットワークの脅威に問題意識を持っているであろうか?

そもそも、「なじみやすいインターフェイス」「誰でも簡単に使える」、それが「家庭向け電化製品」たる所以なのだ。説明書さえ読まずに利用する人も多数いるはずだ。

しかし、基本的に利便性とセキュリティは相反する関係である。だからこそ家電では、今回のようにデフォルトでセキュリティ設定がオフになっていたり、共通のパスワードが割り振られていたりするのだ。

家電製品のユーザーレベルを考えると、日々セキュリティニュースをチェックしているとは到底思えない。また、偶然ニュースを見たとしても、セキュリティに興味がなく、その問題の重大さに気がつかないユーザーも少なからずいるだろう。なにしろ表面上、問題なく使えるからだ。

今回の一件が簡単なアナウンスに止まり、このまま放置されれば、以降も踏み台となり続け、スパム攻撃の温床となってしまう可能性もある。

ネットワーク世界の攻撃者から見れば、家電として販売されていようが、コンピュータとして販売されていようが関係ない。ネットワーク機器としてクラッキングの対象であれば良いだけのことだ。

ネットワーク機器の宿命

この問題は、今回の製品に限った話ではない。今後、多くのネットワーク家電が、不正アクセスをはじめ、さまざまな脅威にさらされるであろう。それは、「ウイルス」だったり、「情報漏洩」であったり、コンピュータと同様のリスクを抱える。

実際、携帯電話やPDAでは、コンセプトウイルスが登場、そしてついに本格的なトロイの木馬が登場した。

コンピュータの世界では、7月よりIPAが脆弱性の届け出制度の運用を開始している。脆弱性のチェックなど、発表までに時間がかかるケースもあり、運用において試行錯誤が行われているようだが、外国のベンダーに脆弱性を指摘するなど、積極的な取り組みが行われている。

今後は、ネットワークに接続される家電についても、同様に脆弱性情報を発信しなければならないだろう。しかし、先に書いたように、家電ユーザーはパソコンユーザーと比較し、セキュリティ問題に対して受け身だ。家電をパソコンを同じレベルでは扱えない。

シンプルな脆弱性でも、ユーザーからのアクションを待つのではなく、メーカーが積極的に「リコール」など実施する必要がある。幅広く情報公開を行い、場合によっては、回収、修理対応しなければ、脆弱性が放置することにもなりかねない。

その点携帯電話業界は、端末に不具合があった際、回収や修理など、うまく処理しているように見える。搭載ソフトウェアに不具合があれば、ユーザーがネットワーク上からパッチをダウンロードして、ユーザー自身でも対応できるし、操作が苦手なユーザーには持ち込み修理でも対応してくれる。

ユーザーへの告知も、ネットワーク上で告知できたり、請求書に同梱するなど、インフラを上手に活用している。

責任の所在は? 求められるメーカー対応

もしネットワーク家電が踏み台となり、第三者に被害が発生したら、責任の所在はどこになるのか。製造元か? 踏み台となったユーザーか?

一般な企業のサーバの踏み台となり、犯人がわからなければ、管理責任を怠ったとして、踏み台となった企業が損害賠償を請求されるケースもある。しかし、家電を所有する個人に対し、企業と同様の管理責任を問うことができるのであろうか。あまり現実的とは思えない。むしろ、ユーザーへの注意喚起を怠ったメーカーこそ、責任を追及される可能性がある。

いずれにしても、確実に家電メーカーは、セキュリティ問題へ本気で取り組まねばならない。サポート体勢についても、一層の強化が必要となり、情報開示幅広く行う仕組みが必要となるだろう。今回の一件は、重要な事例となりそうだ。どのように収束するか、見守っていきたい。

(Security NEXT - 2004/10/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
不正アクセスで停止していた関連サイト、3カ月ぶりに再開 - 府中市
行政書士試験の一部答案用紙が所在不明に
ATM記録紙の紛失が判明、誤廃棄の可能性 - 高知銀
パーソナルデータを利活用する「情報銀行」の実証実験 - DNP
制御システムのセキュリティや脅威がテーマのカンファレンス - 2月に都内で