ネット家電に潜むセキュリティホール(1/2 ページ)
とあるサイトへの“攻撃”に、東芝のハイブリッドレコーダー「RD-Style」シリーズが踏み台にされる、という事件があった。PCではセキュリティに注意を払うユーザーでも、“家電”となると、その危険性を忘れがちになる。今回は図らずもその点を浮き彫りにする結果になった。
家庭内に導入したルータの設定をわざわざ変更し、最低限のセキュリティ管理も行っていないWebサーバに80番ポートをフォワードし、パスワード設定すらかけずに放置する――おそらく、良識のあるユーザーなら、まずそのような馬鹿な真似はしないことだろう。ルータ設定を変更し、Webサーバを自分で動かしておくだけの知識があるのなら、その行為による“危険性”も把握していると考えられるからだ。
なになに? 考えが甘いって? もちろん、中にはセキュリティの甘いコンピュータも多数あるだろう。しかし、コンピュータを直接インターネットにさらす危険性は誰でも知っている。ところが、インターネットにさらすモノが“家電”となると、たとえPC世界ではしっかりと鍵をかけている人でもその危険性を忘れがちになる。
“偶然”があぶり出した問題点
そのニュースが駆けめぐったのは、本サイトのような商用ニュースサイトではない。とあるblogから発信されたものだ。その内容を見ると、さまざまなサイトからこのblogに同時に大量の書き込みが行われたのだとか。攻撃してきたサイトは182にも上り、しかも珍しいことに国内サイトからの攻撃が多かった。
それもそのハズだ。“攻撃サイト”のうち、かなりの割合を占めていたのが、東芝のハイブリッドレコーダー「RD-Style」シリーズ(以下、RDシリーズ)からのものだったのだから。
これはあくまでも推測にしか過ぎないが、この攻撃は匿名で利用可能なHTTPプロキシを探してリスト化。そのリストを用い、多数のサイト(その実体はHTTPプロキシ)から特定のblogサイトへと大量の書き込みを行うという手法を使ったと考えられる。被害を受けたblogの管理者が書いているように、これは“コメントスパム”と表現されるものとも言えるし、やや規模が小さいものの、ある種のDoS(サービス拒否攻撃)と言ってもいいかもしれない。
攻撃者が使った攻撃ツールは、おそらくネット家電――東芝のRDシリーズ――の利用を意図したものではないだろう(*1)。匿名で利用可能なHTTPプロキシをスキャンしたら、たまたま数多くのRDシリーズが見つかっただけと思われる。RDシリーズには「ネットdeナビ」という、Webを用いた便利なリモートユーザーインタフェースが実装され、外部サイト(番組表サービス)に接続するためのHTTPプロキシ機能がある。
つまり、今回ネット家電が利用されたのは、あくまでも偶然なのだ。しかし、今後は偶然ではなく、意図的にネット家電を利用した攻撃ツールが開発されるようになるだろう。PCに対して高いセキュリティ意識を持っているユーザーでも、対象がネット家電となると無意識に使っている場合が多いと思われるからだ。
東芝にこの件についてコメントを求めたところ「弊社では、RDを外部公開して使用することは推奨しておりません。しかしながら、今後は(公開の推奨はしませんが、あえて外部公開して使う場合は)取扱説明書やHP上でセキュリティをオンにしてご使用いただくよう、注意を促していくことを検討中です」との回答を得た(*2)。RDシリーズのセキュリティ設定は、オンにすることでパスワードが設定され、Webブラウザからアクセス時にユーザー認証が必要になる。
RDシリーズが抱えていた問題点
ここまでで「東芝は何をやっている。インターネットにつながる家電なのだから、もっとセキュリティに配慮しておくべきだ」と怒り、あるいは呆れている読者もいるかもしれない。PCユーザーに比べ、セキュリティ意識が低いと想像されるネット家電ユーザー向けに、セキュリティホールのある製品を販売した責任はメーカー側にある、という考え方だ。
RDシリーズには、電子メールを通じて予約や予約結果の確認をやりとりする機能が実装されており、レコーダー本体をインターネットから直接見える状態にしておく必要はない。従って、ユーザーがRDシリーズにインターネットから直接アクセス可能な状態にしていたことに問題がある、と思う読者もいるかもしれない。ネットdeナビには利用時にパスワード入力を求めるよう設定することもできるから、それを設定しておいても良かったかもしれない。
しかし、それでもなお(結果論ではあるが)RDシリーズのソフトウェア仕様にも問題があったと言わざるを得ない。それは次のような点からだ。
*1 編集部注:東芝のRD-Styleの開発責任者である片岡秀夫氏(東芝デジタルメディアネットワーク社デジタルAV事業部DAV商品企画部参事)にこの点について尋ねたところ、そもそもハイブリッドレコーダーが、一般的にAV家電・デジタル家電等、“家電”という捉え方をされていること自体に問題があるのでは、という答えだった。LinuxをOSに使い、CPUやHDDやレコーダー、イーサネットを搭載したハイブリッドレコーダーは、ある意味、LinuxPCそのもの。PCではないのは外見だけ、というわけだ。同社ではRD-Styleで“デジタル家電”という用語を使わず、“デジタルAV”機器という新カテゴリーの製品として表現している。
*2 今後の製品の取扱説明書については、間に合うものから分かりやすい表記で、ユーザーに注意を促していく方針という
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。