新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > スレッド内全記事表示 (記事 4191 からのスレッド)

スレッド内全記事表示 (記事 4191 からのスレッド)

[4191] Re: 「東芝HDD&DVDレコーダーの脆弱性はバリバリ現役」

(名前を入力してください) (2007年4月30日 21時37分)

ソフトウエア等脆弱性関連情報取扱基準によると

>本基準は、以下に掲げるものの脆弱性であって、その脆弱性に起因する

>被害が不特定多数の者に影響を及ぼし得るものに適用する。

だそうなので、趣旨と違うのでは?

そのユーザーだけが被害を受けるものなら。

[4192] Re: 「東芝HDD&DVDレコーダーの脆弱性はバリバリ現役」

ばけら (2007年5月1日 1時12分)

>だそうなので、趣旨と違うのでは?

>そのユーザーだけが被害を受けるものなら。

 実を言うと問題は二つありまして、

・既知の脆弱性によって脆弱になっているサイトをどうするか

・既知の脆弱性によって未知の脅威が発生している場合にどうするか

 前者に関しては基本的に情報セキュリティ早期警戒パートナーシップの枠外です(ただしこの場合も、IPA の方が気を利かせて任意で情報を通知してくれることがあります。ありがたいことです)。

 どちらかというと問題なのは後者です。この件は現在のところ、JVN でも東芝のサイトでも「オープンプロキシとして踏み台にされる」という脅威だけが問題にされています。管理画面から情報が漏洩する危険性については一切触れられていないので、そこをどうするべきかというところがなんとも。

[4194] Re: 「東芝HDD&DVDレコーダーの脆弱性はバリバリ現役」

あり (2007年5月1日 20時53分)

「脆弱性はバリバリ現役」って言うと、対策をしてもまだ現役のように取れました。これは使用者本人がセキュリティ対策をするまではいつまでも脆弱性は残るというだけではないでしょうか?この脆弱性問題に関わらず。

[4195] Re: 「東芝HDD&DVDレコーダーの脆弱性はバリバリ現役」

ばけら (2007年5月1日 22時4分)

>「脆弱性はバリバリ現役」って言うと、対策をしてもまだ現役のように取れました。

 なるほど、そんな受け止め方もあるのですね。中身を読んでお分かりいただけていると思いますが、ここで「現役」といっているのは、問題が終息していないということです。

 多くの場合、脆弱性が公表されて時間が経つと対策が進み、脆弱性は廃れて過去のものになります (というか、そうなってもらわないと困るわけですが)。この問題は何年も前に公表され、当時かなり話題になっていたと思いますが、にもかかわらず、いまだに脆弱なままネットにつながれた機器が現役で活動しています。

 ちょっと調べてみると、私が見つけたものはレアケースではなくて、実は大量に稼動しているようですね。

 シェア3割だそうで、本当に「現役」という感じですね。

>これは使用者本人がセキュリティ対策をするまではいつまでも脆弱性は残るというだけではないでしょうか?この脆弱性問題に関わらず。

 実は面白いことに、本件にはこれが当てはまらない可能性があります。使用者本人がセキュリティ対策をしなくても……。

 まじめに返答すると、先にも書いたように、脆弱性によっては対策が進み、問題がほぼ終息したと言って良い状態になるものがあります。「本人が対策しないのが悪い」と考えるより、何か対策が進まない理由があるのではないかと考えた方が良いと思います。

最近の日記

関わった本など