昨年末あたりからハードディスクレコーダーがブレイクしているという。「デジタルレコーダー」「薄型テレビ」「デジカメ」で、「デジタル三種の神器」と呼ばれているそうだ。販売好調で、日本経済の牽引役ともなっている。

たしかにハードディスクへの録画は便利だ。空テープを用意することなく、容量がある限り録り溜められる。巻き戻しも早送りも必要ない。ランダムアクセスで録画した番組を瞬時に呼び出せる。

そしてもっと便利なのが「ネットワーク機能」だ。インターネットに接続することで、番組表をダウンロードできたり、外部から録画予約なども行える。

しかし便利な反面、新たな問題も浮上したいる。IT保険ドットコムでもニュースでお伝えしたが、東芝のハードディスクDVDレコーダーにスパムの踏み台となる脆弱性があり、実際に被害が発生しているのだ。これは9月中旬くらいからブログなどで話題になりはじめ、10月4日に製造元である東芝からアナウンスが行われた。

ハードディスクDVDレコーダーに脆弱性 - 東芝が注意喚起
http://www.security-next.com/000838.html

問題は深刻だ。東芝ではソフトウェアのアップデートを呼びかけ、デフォルトでは設定されていないセキュリティ機能を利用するよう訴えている。

家電が「家電」たる所以を考えると……

たしかにコンピュータでは、セキュリティパッチの適用やアンチウイルスソフトの定義ファイル更新は、もはや「常識」となりつつある。

しかしそれでも、十分な対策を行っていないユーザーも多く、被害が発生している。ただでさえそのような状態なのだ。デジタル家電のユーザーが不正アクセスといったネットワークの脅威に問題意識を持っているであろうか？

そもそも、「なじみやすいインターフェイス」「誰でも簡単に使える」、それが「家庭向け電化製品」たる所以なのだ。説明書さえ読まずに利用する人も多数いるはずだ。

しかし、基本的に利便性とセキュリティは相反する関係である。だからこそ家電では、今回のようにデフォルトでセキュリティ設定がオフになっていたり、共通のパスワードが割り振られていたりするのだ。

家電製品のユーザーレベルを考えると、日々セキュリティニュースをチェックしているとは到底思えない。また、偶然ニュースを見たとしても、セキュリティに興味がなく、その問題の重大さに気がつかないユーザーも少なからずいるだろう。なにしろ表面上、問題なく使えるからだ。

今回の一件が簡単なアナウンスに止まり、このまま放置されれば、以降も踏み台となり続け、スパム攻撃の温床となってしまう可能性もある。

ネットワーク世界の攻撃者から見れば、家電として販売されていようが、コンピュータとして販売されていようが関係ない。ネットワーク機器としてクラッキングの対象であれば良いだけのことだ。

ネットワーク機器の宿命

この問題は、今回の製品に限った話ではない。今後、多くのネットワーク家電が、不正アクセスをはじめ、さまざまな脅威にさらされるであろう。それは、「ウイルス」だったり、「情報漏洩」であったり、コンピュータと同様のリスクを抱える。

実際、携帯電話やPDAでは、コンセプトウイルスが登場、そしてついに本格的なトロイの木馬が登場した。

コンピュータの世界では、7月よりIPAが脆弱性の届け出制度の運用を開始している。脆弱性のチェックなど、発表までに時間がかかるケースもあり、運用において試行錯誤が行われているようだが、外国のベンダーに脆弱性を指摘するなど、積極的な取り組みが行われている。

今後は、ネットワークに接続される家電についても、同様に脆弱性情報を発信しなければならないだろう。しかし、先に書いたように、家電ユーザーはパソコンユーザーと比較し、セキュリティ問題に対して受け身だ。家電をパソコンを同じレベルでは扱えない。

シンプルな脆弱性でも、ユーザーからのアクションを待つのではなく、メーカーが積極的に「リコール」など実施する必要がある。幅広く情報公開を行い、場合によっては、回収、修理対応しなければ、脆弱性が放置することにもなりかねない。

その点携帯電話業界は、端末に不具合があった際、回収や修理など、うまく処理しているように見える。搭載ソフトウェアに不具合があれば、ユーザーがネットワーク上からパッチをダウンロードして、ユーザー自身でも対応できるし、操作が苦手なユーザーには持ち込み修理でも対応してくれる。

ユーザーへの告知も、ネットワーク上で告知できたり、請求書に同梱するなど、インフラを上手に活用している。

責任の所在は？　求められるメーカー対応

もしネットワーク家電が踏み台となり、第三者に被害が発生したら、責任の所在はどこになるのか。製造元か？　踏み台となったユーザーか？

一般な企業のサーバの踏み台となり、犯人がわからなければ、管理責任を怠ったとして、踏み台となった企業が損害賠償を請求されるケースもある。しかし、家電を所有する個人に対し、企業と同様の管理責任を問うことができるのであろうか。あまり現実的とは思えない。むしろ、ユーザーへの注意喚起を怠ったメーカーこそ、責任を追及される可能性がある。

いずれにしても、確実に家電メーカーは、セキュリティ問題へ本気で取り組まねばならない。サポート体勢についても、一層の強化が必要となり、情報開示幅広く行う仕組みが必要となるだろう。今回の一件は、重要な事例となりそうだ。どのように収束するか、見守っていきたい。

（Security NEXT - 2004/10/12 ） ツイート

PR

関連記事

重度心身障害者の助成金請求書類を紛失、支給に影響なし - さいたま市
光学メーカーのHOYA、生産供給体制が概ね復旧 - 情報流出の影響を調査
「PAN-OS」更新後の再起動前に調査用ファイル取得を
分散型グラフデータベース「Apache HugeGraph」に深刻な脆弱性
「Docker」で「IPv6」の無効化が反映されない脆弱性 - アップデートで修正
露APT28のマルウェア「GooseEgg」が見つかる - 2019年4月よりゼロデイ攻撃を展開か
フィッシング攻撃支援サブスクの関係者を一斉検挙 - 利用者は約1万人
iOS向けLINEアプリの「金融系モジュール」に脆弱性 - アップデートで修正済み
能登半島地震被災地域の登録セキスペ、登録更新申請期限迫る
添付ファイルと宛先の確認不足が重なる誤送信が発生 - 大塚商会