コンシューマー向け情報通信機器をめぐるmmasuda個人的ポジショントークおよびそのリアクションまとめ2023年8月
-
- いいね!0
エレコム(公式)
@elecom_pr
2017年2月以前発売の一部無線ルーターに脆弱性がございます。 問題を解決できず、ご使用の場合は大変お手数ですが代替製品への切り替えをお願いいたします。 本件、力及ばず謝罪するしかできません。誠に申し訳ございません。 ご協力の程、よろしくお願いいたします。 elecom.co.jp/news/security/…
2023-08-10 11:02:44
エレコム(公式)
@elecom_pr
製品の見た目はすべて添付画像となりますので型番の確認をお願いします。 ■対象製品(ルーター) WRC-1167GHBK2 WRC-1467GHBK-A WRC-1467GHBK-S WRC-1750GHBK WRC-1750GHBK2-I WRC-1750GHBK-E WRC-1900GHBK-A WRC-1900GHBK-S WRC-600GHBK-A WRC-733FEBK2-A WRC-F1167ACF WRC-F1167ACF2 pic.twitter.com/9YRZpTxSN8
2023-08-10 11:03:23
拡大
mmasuda @mmasuda@fedibird.com
@mmasuda
@elecom_pr CWE-912な脆弱性への対応であれば「元のコードさえあれば対応ファームウェアの配布」は原理的には困難ではないように思えますがいかがでしょうか? これ例えば消費者庁 @caa_shohishacho 案件( recall.caa.go.jp/result/index.p… )にはできないのかなぁと最近は思わんでもない。 twitter.com/elecom_pr/stat…
2023-08-10 16:18:38
mmasuda @mmasuda@fedibird.com
@mmasuda
@elecom_pr @caa_shohishacho 一般消費者向け電気通信機器にバックドアとかコマンドインジェクションできる情報セキュリテイ上の脆弱性があるというのはそろそろリコール制度でカバーすべき案件じゃないんですかね? 内閣府特命担当大臣(消費者及び食品安全) @konotarogomame 閣下もそう思いませんか?
2023-08-10 16:43:19
ǝunsʇo ıɯnɟɐsɐɯ / メタバース炎上対策専門家
@otsune
脆弱性対応の修正コードを書いてファームをビルドすることは根本的には技術的には可能だろうけど、メーカーのぶっちゃけ本音としてはサポートを含めたコスト面で「さまざまな理由で出来ないことにしたい」「買い替えないと悪用されると告知しました」と言い張りたいところじゃないかと。 twitter.com/mmasuda/status…
2023-08-11 06:26:53
ǝunsʇo ıɯnɟɐsɐɯ / メタバース炎上対策専門家
@otsune
たぶん該当する機器の外注の開発会社との契約期間が終わってるから、改めて脆弱性対応すると費用が掛かるみたいなシンプルな理由が大きいのかなという気もしなくもない。
2023-08-11 06:33:46
mmasuda @mmasuda@fedibird.com
@mmasuda
@otsune 65535%理解できるんですけど「消費者保護」「情報セキュリティ環境の向上」という観点ではそういう「メーカー側の論理」を押し通すことが「正しい」のかというお気持ちはありますね。 まぁ最終的にはポジショントークバトルと言われればその通り。
2023-08-11 08:31:43
mmasuda @mmasuda@fedibird.com
@mmasuda
この問題は社会的コストの支払い方の問題なのですよ。外部不経済の内部経済化ともいう。 自動車の安全対策の歴史とかが類例として適当だと思う。リコール制度と安全装備の義務化によってコスト上昇したがそれによって潜在的リスクは軽減されたわけで、それらに倣う必要があるのではというお気持ち。 twitter.com/mmasuda/status…
2023-08-11 08:39:45
mmasuda @mmasuda@fedibird.com
@mmasuda
「発売後n年も経過した消費者向け機器の面倒を見なければならないの?」と言うからには、まずこういう「標準使用期間の掲示」があるべきじゃないですかね。それこそ一般消費者向けの製品であるならば。 pic.twitter.com/bD1qI4DBtt
2023-08-11 08:49:38
拡大
ǝunsʇo ıɯnɟɐsɐɯ / メタバース炎上対策専門家
@otsune
@mmasuda この話。 -そもそもユーザーの大半は買い換えずに使い続けるよね -メーカーでもユーザーでもないネット利用者全員がうっすら満遍なく被害を受ける -その対策費用を負担すべきなのはメーカーじゃないのか? -売る時に回収処分費を供託する仕組みがないとまずくない?モバイルバッテリー廃棄問題と同じ
2023-08-11 12:23:38
Toshitaka Miura
@tdmiura
@otsune @mmasuda もうなんというか、ルータのサブスクというかレンタルスキームしかないんじゃないかな。 一方で、他人の迷惑上等で自分の支出を切り詰めたがる人は一定割合いて、売り切りで安いのを掴んで今回みたいなパターンに堕ちると。
2023-08-11 16:19:11
mmasuda @mmasuda@fedibird.com
@mmasuda
歴史を見ても外部不経済の問題は「市場」に任せては解決しないということは明らかなので政府による規制介入が残念ながら必要になるという認識です。だからメーカーを責めるよりも政治issue とすべき問題なのではという認識です。
2023-08-14 06:54:38
mmasuda @mmasuda@fedibird.com
@mmasuda
NOTICE notice.go.jp のような活動は大変良い試みだと思っていますけど、情報セキュリティ環境の向上改善のためにはもっと製品のライフサイクルに踏み込んだ施策を行う必要があるのではという話です。
2023-08-14 06:54:38
mmasuda @mmasuda@fedibird.com
@mmasuda
(参考) 総務省|サイバーセキュリティタスクフォース|情報通信ネットワークにおけるサイバーセキュリティ対策分科会(第3回) soumu.go.jp/main_sosiki/ke… より pic.twitter.com/kwN17IgH0R
2023-08-14 07:03:30
拡大
mmasuda @mmasuda@fedibird.com
@mmasuda
なんか面白そうなパブコメ出てるな。あとで見なければ。 >IoT製品に対するセキュリティ適合性評価制度構築方針案に対する意見公募について|e-Govパブリック・コメント public-comment.e-gov.go.jp/servlet/Public…
2024-03-18 11:31:43