一体どうなんでしょう

東芝のHDDレコーダに脆弱性

インプレス記事より。
事件の発覚から顛末まではセキュリティホールmemoをご覧下さい。

　東芝によるとネットdeナビ対応のRDシリーズでは初期状態で、外部からユーザー名やパスワードの入力不要でアクセスできる設定になっている。そのため、外出先からDVDレコーダにアクセスできるようルータの設定を変更している場合などでは、不特定のPCから不正にアクセスされ、RDシリーズをプロキシサーバーとして経由し、コメントスパムなどのデータを送信させられてしまう可能性があるという。

やー、やっぱりネットワーク家電って
こういう危険性があるんですねー。

記事を読むと

　東芝は対策として、ソフトを最新版にバージョンアップすることとセキュリティ設定を「あり」に変更することを呼びかけている。セキュリティ設定を「あり」にすることで、外部からアクセスする際にユーザー名とパスワードの入力が必要になり、不正アクセスを防げるようになる。

セキュリティ設定がついてるだけでもマシだったのかも知れない。
けど、あくまでパッチ（ソフトのバージョンアップ）を当ててからONにしないとダメみたいよ。

実際にコメントスパムの被害にあった方のblogはこちら。
HDDレコーダにサーバ機能がついてて
Webから直接アクセス出来るよーになってたみたいネ。
しかもマニュアルには

本体セキュリティ
「使用する」: パソコンから本機にアクセスするときに、本体ユーザー名と本体パスワードの入力を必要とします。
「使用しない」: パソコンから本機にアクセスするときに、本体ユーザー名と本体パスワードの入力は必要ありません。

本体ポート番号
「80」: 通常は設定を変える必要はありません。うまく接続できないときや、機能の一部が働かないときに、2000〜10000の間で変更します。

HTTP プロキシポート
「80」: 通常は設定を変える必要はありません。変更が必要なときだけ、1〜65535の間で設定します

コレではまるで80で公開しろ、と言わんばかりではないだろうか。
セキュリティホールmemoによると、
東芝に問い合わせた所

弊社では、RDを外部公開して使用することは推奨しておりません。

という返事だったそうだが、マニュアルにはその旨ちゃんと書いてあったのだろうか。
もし書いてあったとしても
「家電」として使っている人にとっては、「便利そうだから」と使ってしまうに違いない。
私でもそんな便利な機能あったら使う。
まぁ、多分パスワードは掛けるだろうけど。

これから先、IPv6に完全に移行したら
ネットワーク家電がワサワサ出てくる、と予想されていたけど
（ってか、IPv6ってどうなってるですか。勉強不足なせいで全く耳にしなくなっちゃったんですが。）
セキュリティをなーんにも考えてない企業が
セキュリティホールをバコバコ開けた家電をバンバン発売するんだろうね。

スパマーにとっては踏み台し放題のいい世の中になるのかも。

ああ迷惑。

Tweet