一昨日ハードディスクDVDレコーダを買ったのですが、自分が買った普及機ではなく上位機種になるとネットワークに接続してブラウザから録画予約ができたり、メールでインターネット経由で録画予約ができたりするのがありました。
インターネットに接続できるというのを見て「そのうちこういうネット家電もウィル
スに感染したりしてね」なんて話をvegeとしてました。(勝手に録画したり、削除しちゃったり、水戸黄門を録画すると20時43分でchを切り替えちゃったり・・・)
そしたら、既にBlogへのコメントスパムに東芝のハードディスクDVDレコーダが中継サーバとして使われていたという記事を見つけました。なんてタイミング。
[ネット家電に潜むセキュリティホール(ITmedia)]:http://www.itmedia.co.jp/anchordesk/articles/0409/24/news025.html
その機種は「ネットdeナビ RD-XS40」というのですが、録画予約をパソコンのブラウザ経由ですることができたり、電子番組表のデータをインターネットから取ってくるためにプロキシサーバという機能も持っていました。
マニュアルに記載されている範囲の使い方、「家の中にあるPCからRD-XS40にアクセスして予約録画」をしている分には問題がなかったのですが、やはり人の子、より便利に利用しようと考えてブロードバンドルーターについている簡易サーバ公開機能などを使ってRD-XS40をインターネットに公開してしまった人達がいます。
ハードディスクレコーダー本体には電子番組表以外のサイトにはアクセスできないよ
うに制限がかかっていたのですが、インターネットに出て行く際の中継となるプロキ
シサーバー機能ではアクセスできるサイトに制限をかけていませんでした。(ここが
問題)そのため、インターネットにRD-XS40を公開すると外出先のインターネットからも自宅のRD-XS40に電子番組表を使って録画予約をしたり、録画の確認などができるようになるのです。
ここまで聞くと、「あ、それ便利かも。おいらもやろうっと」と思う人も出てくるで
しょう。でも、便利な機能という事はインターネットの世界ではセキュリティが甘い
という事になります。
一応、ブラウザで録画予約などをする画面にアクセスする際にパスワード認証を行な
うことができるようにはなっていました。でも、購入時の設定ではパスワード設定は
無効になってます。(ここら辺が家電の考え方)本体そうやって、パスワードのか
かっていない誰でも自由に利用できるプロキシサーバがインターネット上に公開され
ることになりました。
プロキシサーバの設定が緩いのがインターネット経由でも設定ができるようにという
「裏仕様」だったのであれば、少なくとも購入時の設定でパスワードはかけておくべ
きで、メーカーはインターネットに対する認識が甘いと言えます。そうではなくて、
単純にレコーダ本体に制限をかけてあるからプロキシサーバには制限はいらないと考
えたのであっても、インターネットに公開されたらどうなるかというケースを想定し
ておくべきだったと思います。
IT系のメディアでは騒がれ始めたこの事件も、普通のビデオレコーダとして買った人
の耳に届くのには時間がかかります。パソコンのウィルス騒ぎでもそうですが、最も
対処して欲しい人ほどそういった事の情報に興味がなく、対応されるまでに時間がか
かります。興味がないんだから仕方ない話なんですけどね。
