ネット家電もウイルス対策を 64
ストーリー by yoosee
安全な場所なんて、もうどこにもないんだよ… 部門より
安全な場所なんて、もうどこにもないんだよ… 部門より
Anonymous Contributo曰く、"5月18日のNHKにて、最近急増しているネット家電のウイルス対策についてのニュースがありました。ネットに繋ぐからにはウイルス対策が必要だろうというのは予見された話ですが、実際の被害が出る様になり問題が出てきてから指針が話題になるというのはちょっとメーカー側の対応が遅く、弱いように感じます。しかしながら、対策がなされないよりはされた方が確実に良いので、各メーカーには、IPA(情報処理推進機構)の作成された指針を上回るような対策 (組込みソフトウェアのセキュリティ対策のポイント集) をお願いしたいところです。"
媒体が変わっても (スコア:3, すばらしい洞察)
Re:媒体が変わっても (スコア:0, 余計なもの)
# 真似っ子週間
Re:媒体が変わっても (スコア:0)
無防備な状態なんで気をつけねば。
#温度変えられたり、勢い変えられたり、、
Re:媒体が変わっても (スコア:1, 興味深い)
可愛いあの娘の唇をふさいじまえって事じゃないか。
ウイルスとかワームも怖いけど (スコア:3, おもしろおかしい)
#黒くて速いのじゃないです。8本足のです。
それはバグではありません (スコア:3, おもしろおかしい)
# 黒くて速いのを捕捉してくれそうなので放し飼いにしているID
Re:ウイルスとかワームも怖いけど (スコア:3, おもしろおかしい)
Re:ウイルスとかワームも怖いけど (スコア:1, おもしろおかしい)
PL法の対象? (スコア:3, 興味深い)
ソフトウェアがプリインストールされたPCは、
・ソフトウェアとPCが同一メーカーでないならばPL法対象外
・プリインストールによりソフトウェアもPCの一部となるためPL法対象
という説が対立しているようです。
<参考>
製造物責任法(PL法)入門 [law.co.jp]
そうするとネット家電とPL法の関係はどうなるのでしょうか?
組み込みソフトウェアのバグ自体が直接的に損害を与えるケースでは
PL法の対象になる可能性が高いと思いますが、間接的な損害、
つまりバグを第三者に利用されて(例えばウィルス)被った損害に
関してもPL法の対象となり得るのでしょうか。
PL法自体、対象物のメカニカル的な欠陥による消費者の損害救済を
主眼に置く性格であると思います。
そうなると、時代に即した形でPL法を進化させていく必要があると
思います。
#それとも、冷蔵庫もシュリンクラップライセンスになる時代が
#くるんでしょうか?(笑)
Re:PL法の対象? (スコア:1, 興味深い)
それじゃどんな機械でもファームを外注すればPL法対象外じゃないですか。
いくらなんでもそんなのは通らないと思いますよ。
ISO/IEC15408認証(CC) (スコア:3, 参考になる)
情報システム/製品のセキュリテイ評価/認証が行われています。
ITセキュリティ評価及び認証制度(JISEC)
http://www.ipa.go.jp/security/jisec/index.html
電子政府ということで日本政府としても下記施策を実施しており、実際の認証取得がどの程度広がるか興味/心配があります。
・政府調達の情報システムについてセキュリテイ要件としてCC取得が必須要件になる。
・情報基盤強化税制として認証済機器(OS/DBMS/FW)購入で税制上措置が講じられた。
現時点の認証済み機器は、デジタル複合機が大半のようですが、
今後、どの程度広がるものだか..
# 例えば、ケータイ/クルマ/ネット家電の冷蔵庫/電車/ATM/
にCCマークが付くとか。
本当にセキュアな社会にするためには、製品の設計段階から必要なことですが、認証取得の動きが出てきたら/J各位の仕事が増えますね。製造業勤めとしては気になってます。
今日実施されたIPAX2006で情報セキュリテイ認証室長さんがこの辺のお話をされていました。
http://www.ipa.go.jp/event/ipax2006/index3.html
# 上記対象製品については言われていません。実際の対象製品動向について確認したかったのですが、質問時間無かったので聞けませんでした。
説明資料はIPAのWEBページで公開すると仰ってました。
WindowsXP-SP2は認証取得済 (スコア:2, 興味深い)
http://www.microsoft.com/japan/technet/security/news/isoiec15408.mspx
>Windows XP Professional SP2 EAL4+ 2005 年 11 月
>Windows Server 2003 (Standard, Enterprise, Datacenter) EAL4+ 2005 年 11 月
↑について気になった点があります。誰か教えてください。
なお、認証取得機関BSIによれば、Windowsだけでなく勿論Linuxでも取得事例があります。
http://www.bsi.bund.de/zertifiz/zert/aktuelle.htm
>SUSE Linux Products GmbH
>SUSE Linux Enterprise Server 8 with service pack 3 and patches Operating System
> BSI-DSZ-CC-0371
経済産業省「IT に関する減税」
http://www.meti.go.jp/policy/it_policy/zeisei/index.html
Re:WindowsXP-SP2は認証取得済 (スコア:1)
STに対する認証は、対象のシステム・製品のセキュリティ機能の設計に関するものなので、
> 必須パッチなどの記載は無し→SP2まで当てれば後は当てなくともCC認証通ったままでいて良いのか?
> OSカーネル部分のパッチ当てたらデグレードテストしなくて良いのか?(+現状が十分テストできているのか?:-)
STに記載されたセキュリティ要件にかかわる修正であることを仮定して。
# STに記載されていない機能については関係ありません。
## と割り切れない複雑さは置いておいて。
CCでは、認証の維持などの制度についてを規定していません。
例えば日本では、認証機関において保証継続の可否を決定します(ITセキュリティ認証に係る保証継続ガイドライン [ipa.go.jp])。
CCRAに加盟してる国はどこも同じなんでしょうか。ちょっと探してみます。
> 仮にXPが認証取得できていなければ、政府調達情報システムは実質納入不能になるのか?
政府機関の情報セキュリティ対策のための統一基準 [bits.go.jp]ですね。
現に認証は取得できています。問題は今後。現実的には、落ちることも納入不能になることも考えにくいですが。
ちなみに、電子政府向けPP [ipa.go.jp]。
Re:WindowsXP-SP2は認証取得済 (スコア:1)
影響が軽微ならSTに追加情報を記載、影響が大きければ再評価。
大枠は加盟国で共通。
Re:WindowsXP-SP2は認証取得済 (スコア:1)
自分でも少し追加確認してみました。
「Windows プラットフォームの Common Criteria Certification」
http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/ccc/default.mspx
を参照したところ、英語情報には必要なhotfix(TOE)が明記されているのに。現状の日本語情報には記載されていません。大した分量では無いのだから、TOEとして明記されている条件は日本語文書にも明記して欲しいものです。
http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/ccc/default.mspx
#原文当たるのが当然というのはさて置いて
>STに対する認証は、対象のシステム・製品のセキュリティ機能の設計に関するものなので、
>影響が軽微ならSTに追加情報を記載、影響が大きければ再評価。
EAL*と評価されていても、セキュリティ要件に関わらない「はず」の機能修正により、各種脆弱性が結果的に追加実装されて配布される可能性は避けられないのでしょうかね。所詮はそのような余地を設計段階から減らす事の積み重ねしかできないかな。
評価項目はCEMで規定されているにせよ、人間の見落としは所詮避けられないものだし。
建設業界では構造設計の偽装や評価機関の問題が出てますが、イーホ^Hシーシーさんに評価依頼すると速くて安くCC認証取得できるから注文増えるとか、そんな事が無い様にお願いしたいものです。
#実際には利用検討するだろうが:-)
電子政府向け情報提供システムプロテクションプロファイル
http://www.ipa.go.jp/security/fy13/evalu/pp_st/e_publication_pp_v10.pdf
P11
>2.6.2. TOE に含まれない機能
>以下の機能は、本TOE に含まれない機能であるが、TOE である情報提供システムを利用するために、一般的に必要もしくは必要となる可能性のある機能である。
>
Re:WindowsXP-SP2は認証取得済 (スコア:1)
Oracle Database10gも。 (スコア:1)
http://www.oracle.co.jp/database/news/
かたや、SQL Serverは。
http://www.microsoft.com/japan/technet/security/news/isoiec15408.mspx
参考 (スコア:1)
新たなシステム脅威の可能性とWinnyの脆弱性〜米eEyeの鵜飼氏講演 [impress.co.jp]
でも、やっぱり危険性×分量でいえば Windows マシンが一番の脅威なんだろうな。
#会社で社員にアンチウィルス製品を配っても税法上の利益供与とみなさないとかってしてくれないかしらん。
予想(無責任) (スコア:1)
W32.Heaterに感染したエアコンは、室温が25度以下になると自動的に暖房運転をするようになります。
W32.Coolerに感染したエアコンは、室温が15度以上になると自動的に冷房運転をするようになります。
# あとは炊飯器のスイッチが入らないとかしか思いつかない
Re:予想(無責任) (スコア:1)
Minder
Re:予想(無責任) (スコア:2, おもしろおかしい)
ファームウェアアップデートされて
炊飯プロセスが強制で
おかゆモードになるかも・・・
おかゆライスの人は良いかもしれないが。
Re:予想(無責任) (スコア:1)
考えられなくはないですから、なんでもかんでもネットに繋げればいいって
感じでもないですよね。
クーラーだって、夜中に起動して無闇に温度下げれば心臓の悪い人ぽっくり
逝っちゃうかもしれないですし。タクシー無線でヒーターが誤作動したりする
トリックのウイルス版みたいな。
変なドラマの観すぎか。
#今ならソニー製品が狙われそう
温度ヒューズ (スコア:1)
こたつや炊飯器には温度ヒューズ(決まった温度で溶ける)が
入っています。
もちろん温度ヒューズが切れる前に他のものに火が付いちゃったら
意味がないですが……。
『月面兎兵器ミーナ』2007年1月13日から放送開始
Re:予想(無責任) (スコア:1)
・在庫一覧および消費を掲示板に書き込み
…こいつビールばかり飲んでるよ
・在庫管理・自動発注機能があったら
…大量発注(DDos攻撃?)
・故障自動通報機能を利用して
…毎日かってにサービスコール
Re:予想(無責任) (スコア:0)
ウイルス名が W32 で始まるってことは、そのエアコンでは 32bit Windows が動いてるってことでしょうか?
ウイルスよりも怖いですな。あ、セキュリティホールが云々ではなくて、Windows Vistaみたいに不要な機能がてんこ盛りって意味です。
Re:予想(無責任) (スコア:1, 参考になる)
32bit のWindows でも、組込みの世界では不要な機能がてんこ盛りなんてことはありませんよ。
Re:予想(無責任) (スコア:0)
不精な子なんだ。IE 抜きの Windows ってのも、
易々と実現できそうじゃん、看板だけ見てると。
Re:予想(無責任) (スコア:0)
Re:予想(無責任) (スコア:0)
Re:予想(無責任) (スコア:0)
Re:予想(無責任) (スコア:1)
Re:予想(無責任) (スコア:1)
パイロットランプ的に作るよりは、MCUのポート1〜数ビットとLEDドライバで点灯させた方が基板配置とか配線の工数とか考えると安く付く場合は多々ありますし、その手の点滅はソフトで制御した方が融通が効きますからね
…今のMCUだと、特定のポートならば赤や緑や黄色の高輝度LEDなら直接ドライブ出来たりするような仕様になっていたりする場合が多いので、さらソフトでやった方が有利な場合がありますよ。
Re:予想(便乗) (スコア:1)
DDoSによるネットワーク帯域占有と同様に大停電発生可能
そのうち車もネットにつながるので (スコア:1)
車がウィルスにやられた日にゃ。。。
Re:そのうち車もネットにつながるので (スコア:1)
ウィルスは何にでも付きまとうし、バグはそれ以上に身近ですからね(;´Д`)
ネット化されるというのも、いいのやら悪いのやら…
実用的かつ効果的な対策 (スコア:0)
Re:実用的かつ効果的な対策 (スコア:2, 参考になる)
「オレオレ、オレだよ、、、」
といって、電話でリモートコントロールします。
このプロトコルで間違いないですよね。
Re:実用的かつ効果的な対策 (スコア:1, おもしろおかしい)
Re:実用的かつ効果的な対策 (スコア:3, おもしろおかしい)
マザーコンピュータとか、
イモート・コントロールとか、
オトートメーションとか、
WiFi(ワイフ)とかで対処する。
Re:実用的かつ効果的な対策 (スコア:1)
激しく詳細希望!
#達観してるのでID
Re:実用的かつ効果的な対策 (スコア:1)
携帯ゲーム機にもウィルス [symantec.com]が発生したというのに、24時間常時接続 [google.co.jp]させたり、サーバ用のOS [srad.jp]を搭載したり、そちら方面は大丈夫なのでしょうか?
HDDを標準搭載しない機種はファーム更新なのかな?
Re:実用的かつ効果的な対策 (スコア:1)
その場合詐称ファームに乗っ取られるリスクがありますから(特に全自動の場合)、自衛策が必要になるでしょうね…
# この手の問題って坂村教授がユビキタス社会を提唱した頃から細々とは議論になっていて結論が出ていないような(;´Д`)
Re:実用的かつ効果的な対策 (スコア:1, おもしろおかしい)
Re:実用的かつ効果的な対策 (スコア:0)
Re:実用的かつ効果的な対策 (スコア:0)
Re:ネット家電専用のプロトコル (スコア:1)
だから「ネット家電専用」ではなくて、各社バラバラのネット家電専用プロトコルを作って、仕様を非公開にすれば(ぉぃ
この場合ユーザーはメーカーを統一してネット家電を購入する必要がありますけどね(メーカーショールームみたいになる?笑)
# ソニータイマーの仕様は公開すべきと思うID
Re:実用的かつ効果的な対策 (スコア:0)
ウチは現在そうだけど、でもロケフリっぽいことはやりたいので、色々もくろんでるよ。
だいぶまえに (スコア:0)
Re:だいぶまえに (スコア:3, 参考になる)
Re:だいぶまえに (スコア:0)
国内にたくさんあるような。