コリャ英和!と東芝DVDレコーダが87%を占める日本のオープンProxy 117
ストーリー by yoosee
家電にも自動の「◯◯Update」が必要な時代? 部門より
家電にも自動の「◯◯Update」が必要な時代? 部門より
Anonymous Coward曰く、"「サーバ管理者のスパム対策」というサイトにある「国内open proxyの現状」というコンテンツが、spam中継などに悪用されかねないいわゆる「オープンProxy」の日本における実態を明らかにした。
オープンProxyの多さを国別に比較すると日本は4位と割と多めであるところ、その原因は 65%が「こりゃ英和!」の脆弱性が修正されていないもので、22%が東芝製HDD&DVDビデオレコーダーの脆弱性が修正されていないものだという。
JVNに登録されている東芝からの告知に書かれている「本件に関する対策は以下のURLで公開しています」のURLのページは既に削除されており、東芝のセキュリティへの取り組みの不誠実さが問われそうだ。"
対処依頼をしてみました (スコア:5, 興味深い)
Re:対処依頼をしてみました (スコア:3, すばらしい洞察)
#この件はどう考えても東芝じゃなくて、Yahoo!BBに対処を依頼したけど駄目だったって話のはず。
Re:対処依頼をしてみました (スコア:2, 興味深い)
10件通報して、おおむね2日ぐらいで返事が返ってきますし、対処もしているようです。
1年程前に open proxy が解ってない要員が居たみたいで、えらく手間取ったこともありましたが
最近は慣れてきているのもあるのか頓珍漢な返事はなくなっています。
Re:東芝らしい... (スコア:5, 興味深い)
第一、Open proxyの原因トップは「コリャ英和」であって、「いちばん多いopen proxyの巣窟のサポート」に連絡して黙殺されたなら、製品のことを指して「巣窟」と言ってると解釈した場合、槍玉に挙げるのは東芝ではなくLogoVistaでしょう(もちろんそもそも的外れなわけですが)。
なんだか知らんけど、どうも東芝を不当に貶しめようとしてる人がACさんに居るような感触があります。今回の原因でもっとも多いのはLogoVistaの「コリャ英和」シリーズです。東芝ももちろん無視できない数ですし、サポートの不備に関しては指摘されるべき事象であると思います。特にリンク切れ。RD-Styleのページから該当のサポート情報へ行き着けないのも駄目駄目でしょう。
であるけれど、トップページからの該当情報への行きにくさは(少なくとも私は)LogoVistaであろうが東芝であろうが同様だと思いますし、どっちも少なくとも「ユーザーが自分で修整すれば修整される」という事は同じではあるわけで。
東芝のサポートを必要以上に貶めるのは如何でしょう。何か意図があってやってるならともかく、ちょっと不自然な議論の誘導に思えます。まぁ不自然すぎてツッコミくらいまくってるから特に意図はないのかな。不用意なだけで。
Re:東芝らしい... (スコア:1)
との後に、
と書かれていますから、YBBを指していると考えるのが妥当でしょう。
Re:東芝らしい... (スコア:1, おもしろおかしい)
Yahoo!BBなどプロバイダの問題も大きい (スコア:5, 興味深い)
//////////////
それらの(原因を問わず)Open proxyの約半数はYahoo! BBに存在している。「国内open proxyの現状」では「接続にルーターを使わないようなISPが多い」と考察している。とりあえず、/.j読者も、自分の持っているネットワーク対応家電や、自分の管理下にあるソフトウェア、さらにネットワークへの接続方法について、再度確認をしてみると良いのではないだろうか。
//////////////
なお、RD-Styleの方の告知は404ですが、東芝のサイトにはお知らせ [toshiba.co.jp]は残っています。こちらもリンクしておいた方が親切であったのではないでしょうか。
問題なのは、多く告知されたRD-Style側のセキュリティ告知のページが404である事(そこへリンクを張っているサイトは多いのですが。「国内open proxyの現状」からもそこへ張っていますね)、さらにRD-Styleのサイトの「サポート」からは、今回の情報へ行き着けない(行き着きにくい?少なくとも私は見つけられませんでした)という事だと思います。
Re:Yahoo!BBなどプロバイダの問題も大きい (スコア:1)
常に第三者からアクセス可能であり、適切な制御が無ければ実際に自分のリソースを他人に利用されてしまう、という事をISP自身がもっと広く認識させないと。
Re:Yahoo!BBなどプロバイダの問題も大きい (スコア:1)
そんな事言ってるとそのうち80番ポート以外じゃ通信できなくなってしまいそうで恐いなぁ。
せっかくインターネットに繋いでるんだから双方向通信のいろんな機能を楽しんでほしいね。
# まぁ自分のPCのネットワーク設定もまともにできない人が多いのもわかるけどね。
# なんでもかんでもプロバイダのせいにしてはいけないと思うぞ。
Re:Yahoo!BBなどプロバイダの問題も大きい (スコア:1)
実際、ウィルスに感染してウィルスメールをばら撒いてたり、悪質な荒らし行為を行う契約者に対して、電話とかメールでISPより注意してもらったという話は聞くことがあります。
まぁ、中の人にとってはコストがかなり掛かる大変なことだと思いますので正直なところ面倒で嫌かもしれませんが・・・
今回のようにOpenProxy=潜在的踏み台になっているという報告でISP側が拒否したってのは個人的にはオドロキかも。
Re:Yahoo!BBなどプロバイダの問題も大きい (スコア:4, 興味深い)
もう最近は、初心者のPCはウイルスに感染しているのがデフォルトですから。Netskyが見つからない方が珍しいんじゃないかと(これは妄想かも)。
そして案の定ボットネットにも組み込まれていて、派手にspam送りまくっている、と。
そんな人に状況の説明をして、ウイルスの駆除方法を教えて(これが大変……何しろウイルス対策ソフトのサポートや、パソコンのリカバリの方法までは、ISPではサポート出来ませんからね。「どうして教えてくれないんだ」と揉めることも)、問題解決を確認して完了処理まで持って行かねばならない。
しかも、「俺はspamなんぞ送ってない!」と逆にクレームを付けられれば、当然個別対応もしなくてはいけません。これまたヒトとモノのリソースが大量に必要です。「大量のメールを送っている」と連絡を受けて、あからさまに不快感を示す人も結構いますし。
「単に注意するだけでしょ? やってくれてもいいじゃん」と思われるのは確かですが、ISPのサポートである以上は、お客様にアクションを起こしたならば、返ってくるアクションについても全て何かしらの対応をしないといけないわけです。でもISPがサポートできるのは当然インターネット接続の部分だけでして、PCやソフトウェアの操作なんかはサポートできません。
昔のように、本職のスパマー相手ならやりようがあったんですが、今は99%はウイルスに感染した初心者が相手なので、返ってやりにくくなりました。
……まぁ最後にとって付けたようにフォローしておくと、いちおーほとんどのISPでは、連絡があったら注意連絡して、問題解決したらクローズ、とやっているはずです。しかし、それがいつまで持つかと言われると微妙ですねぇ。どうしてもほぼ全手動の業務フローになっちゃいますし。
この辺のコストは、脆弱すぎるOSを販売している会社や、ウイルス対策をきちんとしていないPCメーカなんかにも補助して欲しいですね。いわゆるインフラただ乗り論ですね(違
Re:Yahoo!BBなどプロバイダの問題も大きい (スコア:1)
プロキシの場合、踏台にされてるのか、自分でやってるのかは、プロバイダ側からはわからんだろうし。
プロキシサーバを立てること自体は悪いことじゃないしね。
ウィルスの検出は、便利な気もするけど、勝手に通信の内容をチェックするのは(例え機械的なものでも)問題があると思う。もちろん契約でちゃんと利用者の同意を得てからなら全く問題ないと思うが、、、私は嫌ですな。
東芝はオープンProxyを欠陥と認めていない (スコア:5, 興味深い)
この欠陥は2つの問題があって、1つは、レコーダの予約機能を外から誰にでも操作されてしまう問題、2つ目が、オープンProxy問題です。東芝が「さらに、本製品のセキュリティ機能であるパスワードを設定していない場合に対応が必要」と言っているのは1つ目の問題のことだけで、2つ目の問題は、今回の調査報告ページ [h1r.org]に、
と書いてあるように、パスワードを設定していても該当します。東芝の、「本製品のセキュリティ機能であるパスワードを設定していない場合に対応が必要」という発表は嘘で、当時も散々指摘されたのに、東芝は訂正しませんでした。
その結果がこの現状なのでしょう。
東芝の告知ページ (スコア:3, 参考になる)
HDD&DVDビデオレコーダーRD-XS40, RD-X3, RD-XS31, RD-XS41, RD-XS41KJ-CH869, RD-X4, RD-X4EX, RD-XS43, RD-XS53, RD-XS34ご購入のお客様へ<重要なお知らせ:セキュリティ設定のお願い> [toshiba.co.jp]
Re:東芝の告知ページ (スコア:1, すばらしい洞察)
この機械持ってますけど、proxyとしての動作が必要なのは
EPGサイトにアクセスするときだけだったと思います。
それなら決められたEPGサイトへのリクエストしか投げられない
設定のproxyにしとけばよかったじゃんと思うのですが。
Re:東芝の告知ページ (スコア:2, 参考になる)
WindowsUpdateみたいに、しつこく告知するとか、深刻な脆弱性は自動でアップデートしちゃうとか。
実際のところ、開発時には「HDDレコーダーのバグなんて、せいぜい持ち主が困るだけ」という認識しか無く、
その辺が詰めの甘さになっているんだと思います。
Re:東芝の告知ページ (スコア:3, 参考になる)
PanasonicのCATV用STBだと本体にメールが届きます。電源ONした際に「メールが届いています」と画面端に表示が出て、しばらく待てば消えるとはいえ邪魔ですし重要な通知が多いためどうしても読んでしまいます。
この通知はふだんは録画予約時間がずれた場合やなんらかで予約が実行できなかった時などに(おそらく内部生成されて)届きますが、たとえば新サービスの開始や放送に関わる重要な通知などもメールとして届きます。STBの場合はCATVの会社と直結してるからというのはありますが、HDDレコーダーもネット接続しているならば情報拾ってくるのは簡単なはずですからこの程度の機能はあっても良さそうです。
#ひさしぶりに東芝サイト見たら、RD-X5のVer.Upソフト販売がとうの昔に始まっていて既に割引期間も終了してて驚きました。たしかにX5は店買いでユーザー登録してないけど、Shop1048ではH1もX4のVer.Upソフトも買ってるのだから告知メールくらい出して~!
Re:東芝の告知ページ (スコア:1)
>どこかでスパムフィルターに引っ掛かったのでは?
Shop1048なんて名前、非常にスパムフィルターに引っかかりそうだからあり得ます…。しかも「バージョンアップのお知らせ」とかの文言が本文に入ってたら、それだけでフィルターされそうですし(笑)
#でもたぶん私の設定の方でしょう。東芝さん、あらぬ疑いをかけてごめんなさい。ただ、単なる宣伝メールはいらないけど規模の大きなアップデートの時は送ってきてほしいな~。
Re:東芝の告知ページ (スコア:1, すばらしい洞察)
発売後のサービスなんて対応しないもんでしょ、家電なんて。
家電だからこそ、安全側に倒しておけってことじゃないのか。
Re:東芝の告知ページ (スコア:2, 参考になる)
解る人は他の家電のようなレコーダーにはない使い方が出来る自由度みたいな。
EPGサイトだって特定サイト以外のどんなサイトでもOKという自由が有ってそれが魅力なのではないかと。
あと、ルータ内に置くのが普通であって、グローバルIPを割り当てたり、
ルータから該当ポートへポートフォワードするのは本来の使い方にはない裏技だったりするはずかと。
まぁ、確かに迂闊とか想定不足と言われたらそこまででしょうが。
# 持ってないのに何を・・・と言われるのを承知でID
Re:東芝の告知ページ (スコア:1)
搭載してないので、単にADSLに繋いでも接続できないはず
なんですけどね。
#2台目のRDを買ったのでID
Re:東芝の告知ページ (スコア:1)
というか、だからこそYBBにツッコミ多数になったんでしょうし。
PPPoEが必要な環境の場合ルータ経由でポート割り当てだから
絶対数が少ないし、そもそもそこまでやるユーザが
こんな大穴に気づかないわけない…
#でもRDは一台ほしいな、金無いけど(T-T)
#状況はいつも最悪、でもそれが当たり前
Re:東芝の告知ページ (スコア:1)
YBBはDHCPでアドレス割り当て、ですね。RD-styleはDHCPでアドレス取得が可能なので、YBBのDHCPサーバからグローバルIPアドレスを取ってしまったのでしょう。
しかしボクの親戚の所だとIPアドレスは1つしか取れず、
またYBBのサーバ側でMAC縛りがあます。他のMACの機器がIPアドレスを取り直すには30分程度の無接続時間が必要です。PCとRD-styleがDHCPでIPアドレスを要求する場合、多分にPCはIPアドレスが取れなくてインターネットに接続出来ない状況が発生するはずなのですが。つまり「何か変」とユーザが気が付く状態が発生するはずなのです。
MAC縛りが無い場合とか、2つ以上のIPアドレスが取れる場合がYBBにはあるのでしょうか?
Re:東芝の告知ページ (スコア:2, 参考になる)
> #出荷時はいくつかのEPGサイトだけにしとけばいいでしょ
告知が出ている以降の機種ではこの通りの仕様になってるはずです。
少なくとも私が今使ってる RD-H1 ではそうです。
Re:東芝の告知ページ (スコア:1, 興味深い)
iEPGの予約時には特定のファイルをサーバー側から引っ張ってくることで実現してます。
で、普通のHTMLとリンクとファイルなわけで、
しかも負荷分散の為にサーバーを別に分ける事はある程度一般的なわけですが、ソレに対してどのようにお考えですか?
つまり「http://www.example.co.jp/」に番組表が表示されてるけど、
iEPGデータは「http://srv01.iepg.example.co.jp/」からダウンロードするようにリンクが構築されてたらどういう風にするのでしょう?
手動で両方追加しろっていうのはいくらなんでも素人には無茶ですよ?しかも、変わらない保障だって皆無だし。
それと番組表を見るのにだってwww.example.co.jp以外を必要とする可能性も有る訳です。
誤解を与える題名 (スコア:3, すばらしい洞察)
>コリャ英和!と東芝DVDレコーダが87%を占める日本のオープンProxy
これでは17.7%のRDも、まるで87%を占めるように読めます。
>コリャ英和!と東芝DVDレコーダで87%を占める日本のオープンProxy
と書くほうが正しいでしょう。
いっそのこと、
>コリャ英和!と東芝DVDレコーダとsquidで93%を占める日本のオープンProxy
と書いてもいいんじゃないですか?
実際には「コリャ英和!」が圧倒多数なんですが。
また、外部リンクにすぎないJVNのリンク先が変更されているからと言って東芝が悪いように書くのも一方的過ぎる。
外部リンクが切れているのは、リンクを張っているJVNの問題なのですからJVNに文句を言いましょう。
東芝のお知らせは削除されていませんから。
よくわかりませんが、タレコミ人は東芝が嫌いなんでしょうね。
Re:誤解を与える題名 (スコア:1, 興味深い)
Re:誤解を与える題名 (スコア:1)
qmailは2GB以上のメールでやられるというバグが見付かったけど、それまではSecureさでは断トツだった訳で
…djbwareはライセンスや挙動に癖があるんで今は使ってないですけど…
# そういえばqmailについてはRFC無視した実装とかもありましたっけ?
正直このままであってほしい (スコア:2, おもしろおかしい)
海外プロバイダからの接続を拒否しており、このような穴を
利用しないと日本人のお○こが見えません (;_;
# 何か矛盾してるよなぁ... :P
Re:正直このままであってほしい (スコア:2, おもしろおかしい)
そんな貴方も東芝のProxy、RDシリーズを買えば全てOK!
表向き普通のDVDレコーダーとして販売中ですので
もしもの時は"知らなかった"で通せる独自機能付きです!
もちろんDVDレコーダーとしての機能もお使い頂けて・・・
Yahoo!BB同時加入で今ならこのお値段!!
<おばちゃん達の歓声>
さぁお申し込みは今すぐ(略
Re:正直このままであってほしい (スコア:1)
ブックマークに登録したURLに、IDとパスワード埋め込んで運用してるのですが、
新しいモデルではこの方法使えませんか?
LogoVistaシリーズも (スコア:2, 興味深い)
商売のスタイル (スコア:1, 参考になる)
Sony 先進的(時に行き過ぎ)、デザイン良し、値段高め
パナ ユーザ本位、使い勝手良し、値段高め
東芝 機能/コスト重視、端々にやっつけ仕事、値段安め
多少使いにくかろうが、W録が安く使えるRDを買ってしまう
自分がいるわけで、どのスタイルが正しいとか間違ってるとかは
言えないんですよね。
同様に、多少世間やネットに迷惑をかけようと、
その対処が中途半端であったり不誠実であったりしようと、
時にクレーマー騒ぎを起こそうと、
安くて多機能な製品を作れば結構商売として成り立つってのが
リアルな世界なのですから仕方がないのです。
Re:商売のスタイル (スコア:2, 参考になる)
松下は頑固にレジューム機能拒否、
どちらも現在は購入対象になりません。
Re:商売のスタイル (スコア:1)
しかも昔は東芝のスカパー!連動対応機種は高いフラッグシップモデルしか無かったんですよ。
# ちなみにRD-X5。操作方法が優しくない上に反応が鈍いので母親が苦戦して録画予約してます
# 他社(特に松下)が単体でスカパー対応機種を出してくれたら買い換えるんですがね:p
Re:松下電器を見習え (スコア:2, すばらしい洞察)
レコーダやPCソフトがopen proxyになっていることで、
人命に関わる自体になるでしょうか?
Re:松下電器を見習え (スコア:1)
Open Proxyによって人命に危害が及んだという報告はないので、まだ「重大な欠陥」ではないですね。
Re:松下電器を見習え (スコア:3, おもしろおかしい)
# 笑えないのでAC
Re:松下電器を見習え (スコア:2, 興味深い)
Re:松下電器を見習え (スコア:1, 興味深い)
個人的には松下のケースはあそこまでやる必要があるとは思えないですし,単に松下がスケープゴートにされただけにしか見えないっす.
#さすがに何がなんでもAC.
Re:松下電器を見習え (スコア:4, 参考になる)
Re:松下電器を見習え (スコア:1, すばらしい洞察)
その欠陥にあわせた行動をしてくれないと、逆に慣れてしまって自分にかかわる重大な欠陥を見落としてしまう
おそれがあります。
Re:松下電器を見習え (スコア:1, すばらしい洞察)
Re:松下電器を見習え (スコア:1, おもしろおかしい)
Re:松下電器を見習え (スコア:2, おもしろおかしい)
SPAMだけに食傷気味の人は多いと思う。
Re:松下電器を見習え (スコア:1, おもしろおかしい)
#Hot SPAMがお気に入り。
Re:松下電器を見習え (スコア:1, おもしろおかしい)
SPAM10万缶も食べたら高血圧で人殺し食品になりそう・・・
Re:松下電器を見習え (スコア:1)
# Mail バラ撒き関係のオープンプロキシは凄く迷惑ではあるが、地獄の底で腐るべきなのは商売人の方だ。
Re:open proxyが無いと (スコア:1)
プロクシ認定されてしまうのが困る。
Re:これだけ食いつきがいいと (スコア:2, 参考になる)
作者の弘兼憲史自身、松下に勤めたことがある [wikipedia.org]し、
現松下や元松下の友人知人誰に聞いても、「あぁ、あれ松下やなぁ」と言ってます。
#特に、ヤング島耕作なんてそのままだとか