パスワードを忘れた? アカウント作成
6481890 story
Java

スイス Jura 社製コーヒーマシンの深刻な脆弱性がようやく公開される 58

ストーリー by reo
汚いなさすがコーヒー派きたない 部門より

先月末に脆弱性対策情報データベースに掲載された JVNDB-2009-004384 によると、Jura Impressa F90 (Amazon.co.uk のアイテム) 用の Jura Internet Connection Kit は、特権関数へのアクセスを適切に制限しないことが分かった。

悪意ある第三者が巧妙に細工したリクエストを行うことにより、サービス運用妨害 (物理的損害) 状態にされる、コーヒーの設定を変更される、およびコードを実行されるといった深刻な事態となることが考えられる。つまり「俺はエスプレッソを飲もうとしたらいつのまにかカプチーノを飲んでいた」という危険性があり (参考: hority 氏によるつぶやき) 、CVSS による深刻度も 10.0 (危険) となっている。該当機種保有者はすみやかにベンダーからの情報を参照して適切な対策を実施するように広く呼びかけられている。

さらに政治的に深刻なことは、公表日 (届け出が行われた日時) が 2009 年 9 月であり、JVNDB に登録されるまで 3 年もの月日を要した点にある。米国では CVE-2008-7173 ですみやかに脆弱性が公開されており、国内の暗黒 (ブラック) コーヒー業界とセキュリティ企業の癒着により公開が遅延させられた可能性もある。沈静化していたコーヒー派と紅茶派の武力闘争が再燃することも想像に難くない。モヒカンの多い /.J 民におかれましては落ち着いた行動に努めて頂きたい。

ネットワークに詳しい名古屋大学の高倉教授によると「大至急機材を調達して調査する」とのことで識者による検証が待たれる。また RFC2324 の Security Considerations において DoCS (Denial of Coffee Service) については 98 年の (4 月 1 日の) 時点で指摘されているが、今回明らかになった脆弱性はさらに深刻なものとなっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by chokkan (40227) on 2012年10月17日 15時47分 (#2253210)

    脆弱性が見つかったときに、/.Jでもストーリーになっていますね。
    コーヒーメーカーの脆弱性が発覚 [srad.jp]

    こんなニュース記事もありました。
    狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性”" [nikkeibp.co.jp]

  • ないない (スコア:4, 興味深い)

    by Anonymous Coward on 2012年10月17日 20時40分 (#2253400)

    ネタにマジレス

    >国内の暗黒 (ブラック) コーヒー業界とセキュリティ企業の癒着により公開が遅延させられた可能性もある

    IPAにたまに報告してるセキュリティ企業の中の人だけど、開発側からのアプローチ自体
    滅多にないよ。公にしたくないなら無視してればIPAでの取り扱い終了。
    →http://bakera.jp/ebi/topic/3203

    実際、何件報告しても音沙汰なしって国内大手企業とかいるよ。
    もちろん表には出ない。

    • by Anonymous Coward

      やっぱ遠隔操作ウイルスでも使ってゼロデイ仕掛けるしかないのか

  • こうやって手を抜こうとするから、こんなことになるんだよ

    とか言うとアレっぽいんだろうか。
    まぁ、私自身は砂糖も牛乳も入っていないコーヒーは飲めないんですけどね。

    • by Anonymous Coward

      プログラマに対する苦言かと思った

  • by shinshimashima (9763) on 2012年10月17日 15時40分 (#2253204) 日記

    あれ、今日は10月17日ですよ。4月1日ではありませんよ?

    #どこかの暦だと4/1だったりするのかな?

    --
    ともあれ、ヤードポンド法は滅ぶべきであると考える次第である
  • by Anonymous Coward on 2012年10月17日 15時51分 (#2253213)

    二つ目の「汚い」はひらがなよ。

  • by Anonymous Coward on 2012年10月17日 21時43分 (#2253459)

    y_tambe先生があらわれるまで続く祭りなのか?

  • >「俺はエスプレッソを飲もうとしたらいつのまにかカプチーノを飲んでいた」

    漫画じゃないんだから飲む前に気づけよ

  • モヒカンの多い /.J 民におかれましては落ち着いた行動に努めて頂きたい。

    マジで!?
    #知らぬ存ぜぬを通せそうにないのでAC

  • by Anonymous Coward on 2012年10月17日 16時08分 (#2253227)

    ○ 一日2杯以上で皮膚がん発症確率が20%低下
    ○ 一日3杯以上で死亡リスクが低下
    ○ 一日3杯以上で糖尿病リスクが低下
    ○ 一日3杯以上で前立腺がんリスク低下。6杯以上ならなお良し。
    × 一日3杯以上で失明リスク
    × 一日3杯以上で貧乳化
    ○ 一日4杯以上で痛風予防
    ○ 一日5杯以上で肝臓がん発病率が飲まない人の1/4に
    × 一日7杯以上で幻覚症状を起こしやすい」
    ○ コーヒーを多く飲む女性は、結腸がんになりにくい

    他にもあったら追記よろしく

    • by Anonymous Coward on 2012年10月17日 16時32分 (#2253243)

      > × 一日3杯以上で貧乳化

      この項目、「×」じゃなくて「○」では?

      親コメント
    • - 職場の机でコーヒーカップをぶちまけることでキーボードにDoS

      - 職場の机で缶コーヒーをぶちまけることでフロッピーディスク破壊

      - 職場の机にコーヒーカップを置くことで重要書類に染みインジェクション

      (いずれも自分では体験していませんが見聞きしたことはあります)

      親コメント
      •  ふ、フロッピーディスク・・・
        #まだ使ってるところは多いのかなぁ

        親コメント
        • いえ、これを目撃したのはもう二十年近く昔の話です。PC用ではなくて、ワープロ文書用フロッピーでした。

          ちなみに、やらかしたのは当時私と同じ開発グループの人でしたが、缶コーヒーで糖分とクリーム分を含んでいるので媒体はべったべたに…。(フロッピーディスクというよりスティッキーディスクという感じ)

          親コメント
        • by Anonymous Coward

          実家で最近見たんだけど8インチのを鍋敷きにしてたな

      • by Anonymous Coward

        - 職場の机で缶コーヒーをぶちまけることでフロッピーディスク破壊

        昔のAPPLEのマニュアルにコーヒーをこぼしてしまったフロッピーディスクの復旧方法が載っていたと思ったのですが
        ぐぐる先生に聞いても出てこないなぁ。

        #『コーヒーダウンコピー』に心当たりのある方はいらっしゃいませんか?

        • Appleのマニュアルかどうかも忘れましたが、
          a.汚れた5インチフロッピーのジャケットを切ってクッキーを取り出して洗って干す
          b.新品のジャケットを切ってそれに入れて読み出す
          ってのは見た事があります。

          親コメント
        • by Anonymous Coward

          「あぁ!やっちまった〜」と叫ぶとか有る奴かな?
          はじめてのappleだかMacintoshの、絵本みたいな奴??

          • by Anonymous Coward

            そう、絵本みたいなやつです!
            よかった、ちゃんと実在するマニュアルだったんだ。

      • by Anonymous Coward

        まだブイブイいわせてた頃の月間ASCIIでは「周辺機器」に分類されていたものです

    • × 熱いのに気付かず舌を火傷
      ○ 猫舌アピールで好感度上昇
      ○ 股かn…ズボンにこぼして薄い本フラグ

      // 六番目は◎どころか花丸だろJK(:>^

      親コメント
    • 新人時代、出勤後超寝ぼけてて既にプルトップを空けた缶コーヒーを思いっきりふりふりシェイクシェイクして中身を噴射したことなら
      親コメント
    • by Anonymous Coward

      朝コーヒーを飲んでたのは犯罪者のせいぜい50%程度かなあ。パンのほうがはるかに危険だ。

    • by Anonymous Coward

      なぜ6番目が×?

    • by Anonymous Coward

      一日100杯以上で死ぬ可能性がある

      ##俺も貧乳化は◎かと・・・

    • by Anonymous Coward
      私も、6番目は◎だと思いますね。猛省を求む。
    • by Anonymous Coward

      > ○ 一日3杯以上で前立腺がんリスク低下。6杯以上ならなお良し。
      > × 一日7杯以上で幻覚症状を起こしやすい」

      結局どういうこと?
      前立腺がんになりたくないのなら、幻覚症状を起こせってことか???
      それとも幻覚症状を起こしたくないのなら、前立腺がんを我慢しろってこと?????

      #無理やりな理屈なのでAC

      • この二項に限りませんが、個々のリスク(対義語は何だったっけ?)の定量数値が示されていないので「ふーん」で終わるか小さくなるのをリスクとするか奇貨として珍重するかどちらの解釈も許されているのです。

        // コーヒーが切らして一ヶ月くらい経つので茉莉花茶を魔法瓶に入れてガブ飲み。

        親コメント
  • by Anonymous Coward on 2012年10月17日 16時20分 (#2253235)

    upnpとかのブロードキャストに応答する情報家電は、
    ウイルスとかに狙われまくるんだろうなと思った。

    • by Anonymous Coward

      OFFはできても電源ONはできちゃダメ、
      というのも、不正アクセスを考えるとまんざらアホな規制でもないのかもね。

      • by KentaHayashi (40880) on 2012年10月18日 0時19分 (#2253533)

        いやOFFにできるのも危険性があると思います。
        例えば、夏の最も熱い時におばあちゃんが具合が悪くなったとします(命に別状はない程度の)。
        おばあちゃんは姑です。息子と嫁は共働きで仕事に行っています。旦那は既に亡くなっているとします。
        そんな状況に置かれたおばあちゃん。部屋は閉めきられていますが、幸いクーラーが点いています。
        そんなクーラーの電源が不正アクセスで電源がOFFになったら、おばあちゃんはきっと熱中症で死んでしまいます。

        親コメント
        • by Anonymous Coward

          それは、おばあちゃんを赤子、共働きで仕事をギャンブルに置き換えると現実に起きていますよね、原因は不正アクセスではなく。

          そもそも、万が一の際にすぐ駆けつけられない場所に機械に任せで肉親を放置することの是非が先立つ例ではないでしょうか。

          すでに危険な状態にしている事に無自覚な運用方法を標準にして、リスク顕在化時の責任を技術に押し付けるのは人格を持たない存在をスケープゴートにしているだけでしょう。

          問題意識自体はフールプルーフ技術が進化するという利点もありますが、この例は技術側が法的・道義的な責任を負う範囲では無く不適切だと思います。

  • by Anonymous Coward on 2012年10月17日 16時38分 (#2253247)

    汚いコーヒー派は消毒だー!

  • by Anonymous Coward on 2012年10月17日 18時00分 (#2253292)

    冷蔵庫や洗濯機から殺人予告が送付されたりするんでしょう。

    • by Anonymous Coward on 2012年10月17日 18時08分 (#2253294)

      後代に「縛られ冷蔵庫」とか「縛られ洗濯機」として祀られるんですね

      親コメント
    • by Anonymous Coward
      ノーベル賞から殺人予告まで、やっぱ日本の洗濯機ハンパねぇな。
  • by Anonymous Coward on 2012年10月17日 21時04分 (#2253430)

    公式サイトとか見たけど、internet connectivityって何するの?
    説明を見ると、家の中でPCから設定を入れるように見えるし。

    あと、「ベンダ情報および参考情報を参照して適切な対策を」ってあるけど、パッチでもあるの?単に外からつなげないように設定してってことかなあ。

    # もしかして:JavaScript, Flash

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...