アカウント名:
パスワード:
今回は自分のデータが死んだだけで周りに迷惑を掛けてないが、いずれボットネットに参加したり、ネットワーク内への侵攻の橋頭堡になる可能性もある。あらゆる機器は、今は攻撃を受けてなくてもいつやられるかは分からない。従って常にファームウェアを更新し続けるしかないし、もし更新できなくなったらインターネットに繋がないようにするしかない。
当然で今更だけど、保守が切れてファームウェアが更新されないようになった機器をインターネットに繋ぐのは危険なんだよ。かといって、メーカーに未来永劫サポートしろというのも土台無理な話なので、結局は適切に使わないのが悪いという結論になる。壊れていないのに使わないのはもったいないとか、そんなの使うのは人の勝手だろとか、理解できない人が多いかもしれないが。公式対策のファイアウォールで防御しろというのも分かる人ができるだけで、ただのNASなのでそういう対策ができない人も多いだろう。繋がない方法は物理的かファイアウォールでブロックするかは好きにしたらいいが、いずれにしても警鐘は鳴らすべきと思う。
参考までに、近年改正された電気通信事業法のIoT機器のセキュリティ基準に係る技術基準適合認定ではファームウェア更新できることが技適マークの取得要件に加わってますね
https://www.soumu.go.jp/main_content/000615696.pdf [soumu.go.jp]
機能として存在していることと、その機能による更新が提供され続けることは別なんですよね・・
しかもファームウェア内にはほとんどの場合、プロプライエタリなデバイスドライバが入っているため、それゆえに脆弱性を修正できないか、そのデバイスドライバ自身に脆弱性があったりもするわけで・・
場合によっちゃTiVo化 [wikipedia.org]されてたりも・・
重大な脆弱性があれば、メーカーがファームウェア更新を提供する最低期間が定められてない以上、ザル基準だな
できるでは意味がないしなければならないにしないと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
保守期間終了の機器はインターネットへの接続不可を義務付けてはどうだろう? (スコア:0)
今回は自分のデータが死んだだけで周りに迷惑を掛けてないが、いずれボットネットに参加したり、ネットワーク内への侵攻の橋頭堡になる可能性もある。
あらゆる機器は、今は攻撃を受けてなくてもいつやられるかは分からない。
従って常にファームウェアを更新し続けるしかないし、もし更新できなくなったらインターネットに繋がないようにするしかない。
当然で今更だけど、保守が切れてファームウェアが更新されないようになった機器をインターネットに繋ぐのは危険なんだよ。
かといって、メーカーに未来永劫サポートしろというのも土台無理な話なので、結局は適切に使わないのが悪いという結論になる。
壊れていないのに使わないのはもったいないとか、そんなの使うのは人の勝手だろとか、理解できない人が多いかもしれないが。
公式対策のファイアウォールで防御しろというのも分かる人ができるだけで、ただのNASなのでそういう対策ができない人も多いだろう。
繋がない方法は物理的かファイアウォールでブロックするかは好きにしたらいいが、いずれにしても警鐘は鳴らすべきと思う。
Re:保守期間終了の機器はインターネットへの接続不可を義務付けてはどうだろう? (スコア:2, 参考になる)
参考までに、近年改正された電気通信事業法のIoT機器のセキュリティ基準に係る技術基準適合認定ではファームウェア更新できることが技適マークの取得要件に加わってますね
https://www.soumu.go.jp/main_content/000615696.pdf [soumu.go.jp]
Re: (スコア:0)
機能として存在していることと、その機能による更新が提供され続けることは別なんですよね・・
しかもファームウェア内にはほとんどの場合、プロプライエタリなデバイスドライバが入っているため、
それゆえに脆弱性を修正できないか、そのデバイスドライバ自身に脆弱性があったりもするわけで・・
場合によっちゃTiVo化 [wikipedia.org]されてたりも・・
Re: (スコア:0)
重大な脆弱性があれば、メーカーがファームウェア更新を提供する最低期間が定められてない以上、
ザル基準だな
Re: (スコア:0)
できるでは意味がないしなければならないにしないと。