パスワードを忘れた? アカウント作成
13375239 story
アメリカ合衆国

米上院でIoTデバイスのセキュリティ対策を求める法案が提出される 64

ストーリー by hylom
基本中の基本 部門より

米国で、「Internet of Things Cybersecurity Improvement Act」(IoTサイバーセキュリティ向上法)なる法案(法案PDF)が上院に提出されたという(ギズモード・ジャパンCNET)。

この法案は、IoTデバイスを米政府に販売する企業に対し、一定のセキュリティ基準を求めるものとなる。内容としては、発売後にセキュリティパッチを適用できるようにすること、ハードコーディングされたパスワードを使用しないことなどが含まれているそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by AnotogasterSieboldii (37677) on 2017年08月10日 14時51分 (#3259405)

    なんでもありですからねぇ

    http://hardshopper.hatenablog.com/entry/networkcamera [hatenablog.com]

  • by miishika (12648) on 2017年08月11日 11時30分 (#3259950)
    こういう技術的な話が法案として出て来るところで、アメリカとは大きな差を付けられたと感じる(議員さんが勉強しているのか、IT企業の助言があるのか分からないけど)。
  • by Anonymous Coward on 2017年08月10日 6時37分 (#3259034)

    でもアメリカ政府による監視のためにバックドアを作らせるんだろ

    • by Anonymous Coward

      日本語読めないのかな。
      「この法案は、IoTデバイスを米政府に販売する企業に対し、一定のセキュリティ基準を求めるものとなる。」
      自分を監視するの?w

  • Appleが安全だと主張し国内でも多数の企業が導入したApplePayで、詐欺事件が相次いています

    https://headlines.yahoo.co.jp/hl?a=20170810-00000012-mai-soci [yahoo.co.jp]

    その内容は、当初から指摘されていた
    「他人のクレジットカードや、不正なクレジットカードをApplePayに登録して使用される」という危険性そのもの
    ApplePayの決済スキームというシステム全体で見て、最も弱いところが突かれています

    Appleがセキュリティを売り物に多数の企業に売り込み導入させたApplePay
    実際には詐欺事件が多数発生しているこの状況を、Appleはどのような「魔法」で消滅させるのでしょうか

    • Appleがセキュリティを売り物に多数の企業に売り込み導入させたApplePay
      実際には詐欺事件が多数発生しているこの状況を、Appleはどのような「魔法」で消滅させるのでしょうか

      ご丁寧に記事のリンクまで出してるのにコメントの内容のなさといったら酷いものだな。
      以下の引用はリンク先記事の一部だ。

      アップルペイの決済には指紋認証が必要で、登録されたカード情報はその都度暗号化される。スマホの画面にカード番号や有効期限が表示されないだけでなく、小売店にもアップルにもカード情報が一切残らない仕組みだ。このため小売店への不正アクセスなどによる情報流出の恐れは極めて低い。スマホを紛失してもデータは遠隔操作で消去できる。
       しかし、カード情報を登録する際の本人確認は、各発行会社に任されている。企業などへのサイバー攻撃やフィッシングで流出したカード情報がいったんスマホに登録されれば、店舗での不正利用を防ぐことは難しくなるのが現状だ。

      この記事を読む限りでは、ApplePay自身のセキュリティーは高いけど
      カード会社の本人確認が甘いからそこを突かれて事件が発生している。

      本人確認が甘いセキュリティが緩いカード会社が被害に合っているのなら、
      道を作ったAppleじゃなく、カード会社の緩い玄関扉をまず直すべきじゃねーの?

      親コメント
    • by Anonymous Coward

      あんさん、毎度なんも関係ない話題まで出しゃばってApple叩かんと死ぬ病気なんかw

      ところで「他人のクレジットカードや、不正なクレジットカードをApplePayに登録して使用される」
      というのはそもそもApple Payの危険性なのかという話はひとまず置くとして、
      同じ問題はAndroid Payでは起きないもんなんかね?

      • by Anonymous Coward

        > そもそもApple Payの危険性なのかという話はひとまず置くとして、
        > 同じ問題はAndroid Payでは起きないもんなんかね

        どっかの開発者がフィッシングに引っかかってアカウント情報漏らしただけの話を

        「Google Chrome拡張機能で開発者アカウントが乗っ取られ、マルウェアが配布された」

        なんていう表題でタレコミにし、挙句にそんなのGoogle関係ないだろという意見を徹底的にマイナスモデで沈めているスラドで何を言ってるんですか?

        今回の件は「Appleの問題、同じことがほかで起きるかどうかなんて一切関係ない」んですよ
        なぜならスラドではGoogleChromeに対してそういうことをすでにやってしまった前例があるからです

        • by Anonymous Coward

          あんたモデスコアのために人生の全部賭けるのやめたほうがいいよ

        • by Anonymous Coward

          そのトピックでGoogleが悪いなんて話は誰もしていなかったけど。
          Googleが責められていると思い込んで暴れていた被害妄想狂はいたが。

          君は「Appleはどのような『魔法』で消滅させるのでしょうか」とAppleの責任であるかのように扱ってるよね。

          まあ、一度お医者に診てもらいなさい。悪いことは言わないから。

        • by Anonymous Coward

          > 今回の件は「Appleの問題、同じことがほかで起きるかどうかなんて一切関係ない」んですよ

          またそうやって、自分に都合の悪い話になると話をそらそうとするw

          • by Anonymous Coward

            > またそうやって、自分に都合の悪い話になると話をそらそうとするw

            またそうやって、自分に都合の悪い話になると話をそらそうとするw

            • by Anonymous Coward

              またそうやって、自分に都合の悪い話になると話をそらそうとするw

              • by Anonymous Coward

                こういう展開観てると自演っぽいな。
                sradしか居所が無いんだろうか。

              • by Anonymous Coward

                > こういう展開観てると自演っぽいな。
                > sradしか居所が無いんだろうか。

                こういう展開観てると自演っぽいな。
                sradしか居所が無いんだろうか。

  • by Anonymous Coward on 2017年08月10日 10時27分 (#3259167)

    すべて、すべて、な。
    セキュアブートパスが必要なら、ブートローダはOTP ROMにすればいい

    全域を読んで監査するのは、AIになるだろう
    「あ、このコードまわし、犬くさい…付箋はったろ。おーい人間」

    • by Anonymous Coward

      > セキュアブートパスが必要なら、ブートローダはOTP ROMにすればいい

      すべて読み書き可能じゃなかったの?

      • by Anonymous Coward

        どのみち、blick からのリカバリや、後日発覚した悪意を上書きするため、すべて書き込めることが望ましいよ。指摘のとおり。
        ただ、DRM業界が黙ってないだろうから。

    • by Anonymous Coward

      あんな、あんたのパスワードやその他個人情報なんかを暗号化して保存しておくのに、
      その暗号鍵が簡単に知られんように、読めない領域は作っておかなきゃならんのやで。

      • by Anonymous Coward

        装置に全データが入っていなければいい、鍵のかけらは、貴方が持て。

        解読できない領域があるなら、そこに悪意も隠そうぜ
        ならたとえば、中韓製造のTPMチップにバックドアや、特定のブートローダをかく乱するコードがないと言えるのか
        装置に全データが入っていれば、何したって解読される TPMチップですら、そのファームは読み出せるべきだ

        なお別チップである意味はある、オフラインの操作によらなければ吸出し困難というのは意味がある

        • by Anonymous Coward

          句読点の使いかたがめちゃくちゃで、どこで文章が切れてるかわからないんだけど。

          まあそれはさておき、

          > 鍵のかけらは、貴方が持て

          え~と、毎度エンコード/デコードする度に何百ビットもの鍵を入力するの?
          ていうかTPMは普通のソフトウェアからアクセスできないから安全なのに、
          UI入出力なんて普通のソフトウェアから丸見えなところ経由で暗号鍵渡す方がよほど危ないんだけどw

          • by Anonymous Coward

            ドングルにしたらどうかな

            • by Anonymous Coward

              それ、ドングルに入っている情報も読み出し放題なんだよね、すべて読み出せるべきだというなら。
              ドングルとスマホセットで盗まれたら、もうおしまいじゃない?

              FBIが犯罪者から押収したiPhone内の情報を取り出すのにえらくてこずったように、
              TPMで守られている普通のスマホは、端末を取られたところで情報抜き放題にはならないけど。

              • by Anonymous Coward

                データは保護されるが、引き換えにブラックボックスがそこに生じる。
                iPhoneはいわば同盟国製だからそんなに大きな問題になっていないが、
                ならば、ある日突然米国と敵対し、Appleが毒電波(毒アップデート)を発するや、
                いっせいにSecureEnclaveが秘密鍵を抱えてだんまりを始めたら、どうなるかな。

                ていうか、デスクトップならともかく、モバイルに個人情報保存することはないと思う。
                異論は認める、実際に、妥協の産物として、ブラックボックスだらけの端末で日々遊んでる。
                ただ、ブラックボックスを減らしていってほしいと、切に願う。
                ブラックボックスに依存した設計のデバイスは、もういくらでも手に入る。

              • by Anonymous Coward

                > ならば、ある日突然米国と敵対し、Appleが毒電波(毒アップデート)を発するや、

                まあ、そんな起こる蓋然性が少ないことを考えるより「明日、交通事故にあって寝たきりになるかもしれない」と
                心配する方が、ずっと建設的だと思うねw

                > ていうか、デスクトップならともかく、モバイルに個人情報保存することはないと思う。

                じゃあ電話帳もなく、アプリもインストールできないような携帯電話を使えば?

              • by Anonymous Coward

                ガラケーの電話帳を使うことはないですよ。自局番号を00に入れているくらい。Jホン上がりですので。
                WSLにAndroidが移植されるのを、とても楽しみにしています。

              • by Anonymous Coward

                > iPhoneはいわば同盟国製だからそんなに大きな問題になっていないが、

                問題になってますよ
                なのでオバマ大統領ですらセキュリティ懸念を理由にiPhoneが使えないとボヤいています

                https://www.j-cast.com/2014/01/13193792.html [j-cast.com]

                懸念されることは多くありますが、たとえばApple自身が悪意のある行為をしないとしても、
                SecureEnclaveその他TPMチップ自体がクラックされる危険もあります
                例としてTPM 1.2は暗号関連の強度が今となっては弱いとみなされ、TPM2.0への移行を推奨されています

                とくにAppleが大好き公式規格でもないオレオレTPMなんて、
                本当の意味でセキュリティの世界で言えばオモチャです

              • by Anonymous Coward

                バラク・オバマ前大統領はセキュリティ上の理由によりiPhoneの使用を許可されていなかった。 [it.srad.jp]
                一方、トランプ大統領の場合は既にアップデートの提供されなくなったGalaxy S3を使用しており、
                古いAndroidデバイスよりも安全な選択肢としてiPhoneの使用が認められたとのこと。

              • by Anonymous Coward

                とくにAppleが大好き公式規格でもないオレオレTPMなんて、
                本当の意味でセキュリティの世界で言えばオモチャです

                iPhoneがオモチャレベルなら、マルチプラットフォームゆえにハードウェア支援を利用した一貫した
                セキュリティシステムをOSとして提供できず、詳細実装は各々のメーカー任せなAndroidはもうゴミクズレベルだねw

              • by Anonymous Coward

                > ガラケーの電話帳を使うことはないですよ。自局番号を00に入れているくらい。Jホン上がりですので。

                スマホからアプリストアにアクセスしてアプリインストールして遊んでるんだよね。
                「妥協の産物として、ブラックボックスだらけの端末で日々遊んでる。」っていうんだから。
                スマホが君のアカウント情報を持っていないと、ストアにアクセスできないはずだけど。

                > WSLにAndroidが移植されるのを、とても楽しみにしています。

                PCだって昨今はセキュリティのために不可視エリアがあるのをしらんのか?
                「ある日突然米国と敵対し、Appleが毒電波(毒アップデート)を発するや」って心配するのに、
                IntelやMicrosoftはそうならないと思う理由は?w

              • by Anonymous Coward

                > iPhoneがオモチャレベルなら、マルチプラットフォームゆえにハードウェア支援を利用した一貫した
                > セキュリティシステムをOSとして提供できず、詳細実装は各々のメーカー任せなAndroidはもうゴミクズレベルだねw

                お前がキチガイApple信者ということはわかった

                公式に規格化された認証その他のハードウェア + ドライバ実装を持ち、
                Linuxで動作する最終製品なんていくらでもあるし、
                それをAndroid端末で使えるようにしているハイセキュリティ製品も政府や軍のレベルでは当然存在するんだけどね
                そういうことも知らないでAndroid叩きで暴れなきゃいけないんだね
                無知って怖いね

                スラドはいつから「ぼくのたいせつなゲームき、AppleのiPhoneがせかいでさいきょう!!」しか叫べない小学生のたまり場になったんだ?

              • by Anonymous Coward

                > 古いAndroidデバイスよりも安全な選択肢としてiPhoneの使用が認められたとのこと。

                そうだね、お前が主張の根拠にしてるリンク先を見るとiPhoneがいかに信用されていないかよくわかるね

                > このiPhoneで使用できるアプリはTwitterだけなのだ
                > iOSではMacアプリ「Apple Configurator 2」を使用することで、
                >「電話」と「設定」を除くアプリの使用制限や、アプリをApp Storeからインストールできないように設定することが可能

                もはやまったくスマートでも何でもない、
                ガラケーで十分どころかガラケーのほうができることが多い、
                そんなレベルまで機能を制限しないと使わせることができない安全性の低い製品、それがiPhoneってことがよくわかるね

              • by Anonymous Coward

                adb install は便利です。
                TPMは、ブート時に読みにいけるキーストレージとして便利に使っていますが、信頼はしていません。
                毒アップデートのごとき有事以前に、静電破壊はありえます。漏洩も、するときはするでしょう。
                BDEのRKを増やすくらいの対応はしております。

              • by Anonymous Coward

                だからそういう風に実装がまちまちで、エンドユーザーから見て、どれが信頼できる端末で、
                どれができない端末なのか全く分からんというのが、全体的にAndroidの信頼性の無さを作っているんだよ。

              • by Anonymous Coward

                Androidはそれにも劣るレベルだったから採用されなかったんじゃないかwww

  • https://wired.jp/2017/08/08/army-dji-drone-ban/ [wired.jp]
    「顧客の同意なしにDJIがどのデータにアクセスできるかは不明だが、陸軍のドローンからの位置情報や音声、動画などのデータは、米軍の運営に関する幅広い情報を流出させてしまう危険性がある。陸軍が特にDJI、あるいは中国政府がこのデータにアクセスする可能性について懸念をもっていなかったとしても、DJIとつながっている第三者が何らかのデータを途中で奪う可能性は捨てきれない。」

    まあ疑問を持つのはしゃーないか。
    万が一ハッキングされて位置情報が取得されたら、陸軍の配備状況が敵に筒抜けになるかもしれんのだもの。

  • by Anonymous Coward on 2017年08月10日 15時16分 (#3259417)

    >ハードコーディングされたパスワードを使用しないこと
    ハードコーディングはされてないものの、rootのパスワードが設定されてない機器を作ってた部署があったな。
    アメリカには輸出しないものだとは思うけど。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...