アカウント名:
パスワード:
どうも報道を見ていると、「利用者のパスワード管理が甘かった」という話じゃなさそうですよね。設置会社が初期設置時に利用者に特に詳しい説明もなく設定した初期パスワードがそのまま犯罪者に使われている感じ。これで補償なしすべて払えでは、ただがけ犯罪者とつるんでいるとさえ思える。
他の事例はわかりませんが、私個人が担当した事例で言うと、デフォルトのパスワードどころか、各ユーザごとに /dev/random の乱数から生成したパスワードを設定しているにも関わらず、パスワードが漏えいして不正利用されたことがありました。
サーバ側では認証エラーに対して応答遅延を設定していましたし、一定回数を超過するとSIPのリクエストそのものを無視する設定もしていたのですが、それでも簡単に漏えいしたということは、端末側から漏えいしたとしか考えられず、そこまで証明できた時点で私の責任範囲は終わりとなりました。
今のところ漏えいしている事実が判明しているのは、訳あってiOSのバージョンアップを怠っていた人たちが全てなので、iOSの何らかの穴が突かれたのではないかと考えています。Androidは今のところ本件に関しては被害は発生していません。
まさかとは思ってたが、 見つかった [apple.srad.jp] か。。。
NTTのひかり電話などもIP電話ですけど、設定あるのかなぁ…。
私の自宅はCATVのIP電話入れてますが、設定方法がまったく不明ですし、そもそもPCつなぐ方法すらわからない。何せつながってるのはアナログの電話ですからね。こういうのも乗っ取りリスクあるのだろうか?
そもそも論として、インターネット側から突破されちゃうような仕組みを導入させた側に問題があると思うんですよね。ユーザー側での管理目的なら外側から入れる必要は無いし、業者側のメンテナンス目的ならユーザーに責任は無いのだし。
正直、業者側の言い分はただの誤魔化しにしか見えません。集団訴訟でも起こすか、消費者保護関係の閣僚動かすとかした方がいい。
VoIPルータを含め、通信事業者から貸与される機器にはサービスマン用の設定画面にHTTPで接続出来る物が多いです。そしてこの設定画面にアクセス出来る不具合(orバックドア)があれば、SIP認証に必要な情報が盗めるかもしれません。自分のIP電話を他人名義でSIP認証すれば、無料で発信し放題です(着信には問題がありますが)。
#開発に関わったVoIPルータにまさにこんな不具合があって、これ使えば他人の電話回線悪用出来るよね、って言ってたのも今は昔の話...のはず
NTT東西のひかり電話はVoIP装置のMACアドレスによる認証があるはず。加えて回線IDとかも見ていると聞いた覚えがあるがここはあやふや。インターネット経由接続ではなくNGNの閉域網だから出来ることだけれども。
当方は自宅ではありますが、やられました。プロバイダから確認の電話が来て発覚でした。年始にかけて通話料金が50万円弱になっていたらしく、事情を説明したら調査の上で帳消しになりました。宅内でウイルスに感染している端末も無かったですし、IP電話関連のパスワードもデフォルトから変更した覚えもあるのでどこから漏れたのか気になります。10年程前にADSLにして以来同一のNEC製モデムを使っていましたがセキュリティホールでもあったのだろうか?
現在CATV使っていますが、同じく設定方法が分からないですね。同じ事が起きなければいいんですが…
この業者の案件がどうなのかは知らないけれど、経験上、ユーザに管理者用パスワードを納入時に渡し、後で変更するように説明したとしてもほとんどの顧客は変えない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
利用者のパスワード管理の問題ではない? (スコア:0)
どうも報道を見ていると、「利用者のパスワード管理が甘かった」という話じゃなさそうですよね。
設置会社が初期設置時に利用者に特に詳しい説明もなく設定した初期パスワードが
そのまま犯罪者に使われている感じ。
これで補償なしすべて払えでは、ただがけ犯罪者とつるんでいるとさえ思える。
Re:利用者のパスワード管理の問題ではない? (スコア:4, 興味深い)
他の事例はわかりませんが、私個人が担当した事例で言うと、
デフォルトのパスワードどころか、各ユーザごとに /dev/random の乱数から生成した
パスワードを設定しているにも関わらず、パスワードが漏えいして不正利用されたことがありました。
サーバ側では認証エラーに対して応答遅延を設定していましたし、
一定回数を超過するとSIPのリクエストそのものを無視する設定もしていたのですが、
それでも簡単に漏えいしたということは、端末側から漏えいしたとしか考えられず、
そこまで証明できた時点で私の責任範囲は終わりとなりました。
今のところ漏えいしている事実が判明しているのは、訳あってiOSのバージョンアップを
怠っていた人たちが全てなので、iOSの何らかの穴が突かれたのではないかと考えています。
Androidは今のところ本件に関しては被害は発生していません。
Re: (スコア:0)
まさかとは思ってたが、 見つかった [apple.srad.jp] か。。。
Re: (スコア:0)
NTTのひかり電話などもIP電話ですけど、設定あるのかなぁ…。
私の自宅はCATVのIP電話入れてますが、設定方法がまったく不明ですし、そもそもPCつなぐ方法すらわからない。
何せつながってるのはアナログの電話ですからね。
こういうのも乗っ取りリスクあるのだろうか?
そもそも論として、インターネット側から突破されちゃうような仕組みを導入させた側に問題があると思うんですよね。
ユーザー側での管理目的なら外側から入れる必要は無いし、業者側のメンテナンス目的ならユーザーに責任は無いのだし。
正直、業者側の言い分はただの誤魔化しにしか見えません。
集団訴訟でも起こすか、消費者保護関係の閣僚動かすとかした方がいい。
Re:利用者のパスワード管理の問題ではない? (スコア:1)
VoIPルータを含め、通信事業者から貸与される機器にはサービスマン用の設定画面にHTTPで接続出来る物が多いです。
そしてこの設定画面にアクセス出来る不具合(orバックドア)があれば、SIP認証に必要な情報が盗めるかもしれません。自分のIP電話を他人名義でSIP認証すれば、無料で発信し放題です(着信には問題がありますが)。
#開発に関わったVoIPルータにまさにこんな不具合があって、これ使えば他人の電話回線悪用出来るよね、って言ってたのも今は昔の話...のはず
Re: (スコア:0)
NTT東西のひかり電話はVoIP装置のMACアドレスによる認証があるはず。
加えて回線IDとかも見ていると聞いた覚えがあるがここはあやふや。
インターネット経由接続ではなくNGNの閉域網だから出来ることだけれども。
Re: (スコア:0)
当方は自宅ではありますが、やられました。プロバイダから確認の電話が来て発覚でした。
年始にかけて通話料金が50万円弱になっていたらしく、事情を説明したら調査の上で帳消しになりました。
宅内でウイルスに感染している端末も無かったですし、IP電話関連のパスワードもデフォルトから変更した覚えもあるのでどこから漏れたのか気になります。
10年程前にADSLにして以来同一のNEC製モデムを使っていましたがセキュリティホールでもあったのだろうか?
現在CATV使っていますが、同じく設定方法が分からないですね。
同じ事が起きなければいいんですが…
Re: (スコア:0)
この業者の案件がどうなのかは知らないけれど、経験上、
ユーザに管理者用パスワードを納入時に渡し、後で変更
するように説明したとしてもほとんどの顧客は変えない。