パスワードを忘れた? アカウント作成
13395817 story
セキュリティ

IoTが引き起こす問題は誰が責任を負うべきか 51

ストーリー by hylom
ハード屋とソフト屋の距離 部門より
taraiok曰く、

周辺機器や産業機器をインターネットに接続するのは簡単だ。しかし、こうしたIoTデバイスが引き起こす問題に誰が責任を負うのか。デンマークの研究者は、「The Internet of Hackable Things(PDF)」と題された調査書を公開した。この調査書ではIoT機器の抱えるユーザーインタフェースのクロスサイトスクリプティングや一部証明書の脆弱性、パスワード解析ソフトで70%の機器がパスワードを簡単に解析されてしまう、多くの機器が暗号化されていないネットワークを使用していることなどを指摘している(NETWORKWORLDSlashdot)。

デバイスメーカー側にも責任の一端があると指摘する。開発段階からセキュリティのことを考慮している組織は48%。デバイスのリモートアップデートを提供している企業は49%。IoTのセキュリティ専門家を雇う企業は20%ほどしかいない。またセキュリティ研究者にデバイスの脆弱性を特定する企業は35%しかいない。

著者らは、IoTのセキュリティ問題は技術的なものよりも文化的な側面が大きいとし、人間の理解とアルゴリズムを統合することが解決策に繋がるとしている。セキュリティを一つの課題として扱うのではなく、IoT製品の開発ライフサイクル全体を通してセキュリティを考慮することが必要だとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by the.ACount (31144) on 2017年09月01日 11時42分 (#3271556)

    概念が登場した最初から「セキュリティ不安が解決されなきゃ使わんぞ」と思ってたけど道は遠そう。

    --
    the.ACount
  • by Anonymous Coward on 2017年09月01日 7時35分 (#3271415)

    ファームのアップデートって何?というボードメーカーは結構多い。
    特にボードメーカー自身でOSの移植をしていない場合は最悪。
    穴だらけの古いopensslを使うのと暗号無しのどっちが安全か、と
    正直悩むぐらいひどい状況だと思っていればあながち間違いとは言えない。

    なのでクラッキングの練習としては非常にいいプラットフォームです。
    でも悪用はしちゃダメだよ :)

    • by Anonymous Coward on 2017年09月01日 16時04分 (#3271705)

      エバリューションボードのサンプルに入っていた、
      「ここサンプルなんで固定だけど製品化する時はちゃんと実装してね(意訳)」
      ってのが見事にそのままだった製品ボードとかも有りますからね。

      親コメント
  • by Anonymous Coward on 2017年09月01日 7時57分 (#3271423)

    ユーザーが悪い?
    現実問題としてユーザーが機器の問題点まで把握するのは難しいからユーザーに責任を問うのは筋違い。
    「これは穴あるから使うな!」とリコール入ったのを知っていて使い続けて問題を引き起こしたなら別だけど。

    デバイスメーカーが悪い?
    ファームのアプデ機能を入れるのはさほど難しくはないけど、脆弱性の情報収集と修正の開発・配布をし続けるというのは難しい。MicrosoftでさえXPのようにまだ使われているOSの修正を投げ出してるぐらいだし。
    出荷段階で致命的な穴があると知っていてそれを放置して売り続けるというなら別だけど。

    ユーザーもメーカーも責任の一端はあるに決まってるけど、当たり前ながら一番悪いのは穴をついて悪用してる人。その人物に責任を問うべき。

    • モノを売るにも使うにも、都合が良くて良いと思う。

      #よくてよいとは...

      親コメント
    • by Anonymous Coward

      犯人の特定や摘発がほぼ確実にできなきゃ、絵に描いた餅。
      そうだ!それこそIoT技術を駆使して監視社会を!だな。

      • by Anonymous Coward

        犯人の摘発が難しいから製造者やユーザーに責任を負わせよう♪というわけかなw

    • by Anonymous Coward

      それなら、問題がある(たとえばサポート終了である)ことを知らせないメーカーが悪いということになるのでは?
      アップデートし続けろと言うわけではなく、ライフサイクル終了は積極的に知らせるべきだと思います。
      マイクロソフトもxpは終わった旨を積極的に告知してましたし、iotというなら尚更できなくはない話。
      #サポート終わったルーターとかかなり動いてると思うんですよねえ...

      • by Anonymous Coward

        > それなら、問題がある(たとえばサポート終了である)ことを知らせないメーカーが悪いということになるのでは?

        Appleの製品なんてみんなそんなもんですね
        iPhoneなどiOS製品も、MacなどPC製品も、いつのまにか切り捨てられて、それも明示されません
        AppleWatchのWatchOSもおそらく同じことになるでしょう

        AppleWatchなんて、普通に腕時計として5年10年使おうとしたら確実にセキュリティホールガバ空きになりますけどどうするんでしょう

        • by Anonymous Coward

          毎回アップデートがあるたびに、どの端末が対象か丁寧に告知してるでしょ。
          そこから漏れてたらサポート終了ってことだ。知らない人は、確認しない自分が悪い。
          OSサポート切れで社会的に騒ぎになるのはデスクトップのWindowsだけでしょ。
          そのほかはAndroid含め、サポート中なのか、セキュリティ気にする人以外は知りもしないし気にもしてない。

      • by Anonymous Coward

        S○NY「弊社の製品は、サポートが終了したら自動的に停止するようにできてます」

    • by Anonymous Coward

      問題があるって判断が難しすぎる。

      致命的という人もいれば、何が問題なの?って言い合いになるだけ。

  • どこの国にも日本で言うところの製造物責任法に該当する法律があると思うんだけど、それにのっとって責任を取る、以外になにか考える要素はあるのかと……。

    • by Anonymous Coward on 2017年09月01日 13時45分 (#3271610)

      日本の製造物責任法は、責任を問われるのは製品を引き渡したときにあった欠陥が対象。
      だからこの手の問題に対しては製造物責任法では対象外になる。

      > 第四条  前条の場合において、製造業者等は、次の各号に掲げる事項を証明したときは、同条に規定する賠償の責めに任じない。
      > 一  当該製造物をその製造業者等が引き渡した時における科学又は技術に関する知見によっては、当該製造物にその欠陥があることを認識することができなかったこと

      親コメント
      • by Anonymous Coward

        「開発時に十分なテストを実行しておれば発見できたものであり、予見不可能とは言えない」
        ほら近頃、気に入らないプロダクトについては、逆汗結果を貼ってまで殴ってくるブログとかもざらにあるじゃん?

        • by Anonymous Coward

          > 十分なテスト
          どれくらいが「十分なテスト」なんでしょうね? というところを明確にした、規格や学説がないので無理だと思います。

          マニュアルに書いてある操作すらできない、ぐらいのガバガバな状態なら兎も角、そうでない例外処理とかは気がつかなくても仕方が無い部分はあるような。

          # 開発危険の抗弁というのがあってry

  • by Anonymous Coward on 2017年09月01日 7時15分 (#3271412)

    どんな問題が起きるか想像も出来ないような人は問題に遭えばいい。

    • by hjmhjm (39921) on 2017年09月01日 10時59分 (#3271534)

      どんな問題が起きるか想像も出来ないような人はデバイスをつくるべきではない。

      親コメント
      • by Anonymous Coward

        EULAに何か起こったら全部ユーザが悪いって書いとけばいいじゃん

      • by Anonymous Coward

        そうやって新しいことを始めようとしてる人を叩きまくって落ちぶれたのが中世ジャップランド(笑)なんだろうに
        かつての邪悪なM$(笑)みたいにごり押しでも何でもいいから新しいものを出し続けないと発展しないよ

      • by Anonymous Coward

        言ってることはわかる。ただ、ありえないことなんて、ありえないんだなあ

    • by Anonymous Coward

      そういう理屈だけでは普及はかなわないし安全も確保できません。
      家電品に様々な安全基準や規制があるのもそのためです。
      利権構造を生まずバランスのとれたルール作りは難しいですけど。
      少なくとも、野放しだけじゃ何も解決しませんよ。

      • by Anonymous Coward

        そう思う人はルール作りでもなんでもすればいいけど、
        どんなルールがあったところで、自分に必要な
        安全のレベルを考えてそれを確保するのは結局は使う人だよ。
        それが出来ない人にはいずれ問題が起きる。

    • by Anonymous Coward

      ざっくり言えばそりゃそうだろうと思う。
      けど、これからますます技術が発展して製品が生活の隅々まで入り込んで来ると、使用の主体がどっちなのかもよくわからんとか、どっちの製品が悪いのかよくわからんとか、そういう状況も生まれるんと違う?

    • by Anonymous Coward

      Wi-Fiスポットの場合、基本的にデフォルトで暗号化された設定で売られてる。
      もしこれを暗号化なしで売ってたら、おそらく消費者はそのまま使ってるだろう。
      自分で設定・管理できない消費者がアホで自己責任だ、といえばそうかもしれないが、やはりメーカー側で最低限のことはやっておく責任はあると思う。
      消費者を守るためにも。

      なので、メーカーはやることはきっちりやっとけ、と思う。
      その上で、消費者がバカなことをするなら消費者の責任だ、と言えるだろう。

  • by Anonymous Coward on 2017年09月01日 9時07分 (#3271466)

    日本の奴はすごいぜ!かっちかちだ!!
    モノはオープンソースだけど、あんなのちゃんと運用できるの日本人だけだ!
    と言われるようなのを作ってくれよ

    IoTのファームはLinuxでなくてもいいわけだし、今まさに、活躍の場はあるのでは

    • by Anonymous Coward

      最近でも日本製って過剰品質なんですかね。

      • by Anonymous Coward

        あなたの身の回りのものが中国製に変わっただけ。

        • by Anonymous Coward

          最近の中国製は品質いいですからね

      • by Anonymous Coward

        ソフトウェア以外はそうかもしれん。

      • by Anonymous Coward

        日本メーカー製と言い直して、エレコムとかバッファローとかどう思う?

        昔のバブル時の必要の無い所まで金を使った商品とは違うよな。

        #あれ?もっと言いたいメーカーが有ったと思うが、無意識が避けて居るのかなんか出ない。

        • by Anonymous Coward

          日本品質をあきらめちゃった世代の製品な。MELCOの頃はまた違ったかも。

          その、あきらめちゃったやつを、IoTで復活せえと。
          もちろん、「いらん機能てんこもりサービス」に逃げずに。

    • by Anonymous Coward

      >日本の奴はすごい(マゾだ)ぜ!かっちかち(に硬直化した作りで更新もままならない)だ!!
      >モノはオープンソースだけど、あんなのちゃんと(作り直さずにだましだまし)運用できる(被虐性がある)の日本人だけだ!

      ところどころ言葉が抜けていたようなので直しておきますね。

  • by Anonymous Coward on 2017年09月01日 9時18分 (#3271471)

    を使うことで大概の人にとっては問題は解決! のはずなんだけど、
    問題はどのフレームワークがデファクトになるかだな。

    • by Anonymous Coward
      IoT 系だと、そのフレームワークが共通して使えるもんじゃないからなぁ。
      ワークエリアを 8キロバイト近く使えるような高級なデバイスもあれば、64バイトとレジスタしかないようなデバイスもあるしな。乗っ取らりや偽装データ化に関しては、この中でも対策は必要。今はFPGAのっけて外部とのやりとりを全部暗号化してるだけだが。

      まぁLinux動くような奴だと、どうとでもなると思うけど。
  • > またセキュリティ研究者にデバイスの脆弱性を特定する企業は35%しかいない。

    この文章、どういう意味でしょうか?解読出来る人いますか?

    原文が英語で、訳を間違えたのかな?

  • IoTはそんなリスクをおかしてまでも「必要」なんですか。

    • by Anonymous Coward

      その昔、OA化が叫ばれたぐらいに必要なんじゃね?

    • by Anonymous Coward

      知らない人、使ったことがない人の「そんなの要らないだろ」って判断は
      はっきり言ってアテにならない。

  • みながセキュリティに気が付かず、安価なデバイスを望み、ファームのアップデートに脆弱性をもつIoTデバイスを購入。ファームのアップデートの脆弱対策として対策用のIoTデバイスを購入するのか、あるいは、ファームのアップデートに脆弱性のないデバイスを、みなで選択し、なるべく安価にIoTデバイスを購入するようにするのか、話せるといいなってことかな。
    • by Anonymous Coward

      このままあちこち脆弱性だらけになったら攻殻機動隊みたいな世界が実現するよ

  • by Anonymous Coward on 2017年09月01日 19時07分 (#3271870)

    「物の力を人間の意思に従わせることが技術者の仕事であって、それを正しい用途に使うことは利用者の責任である」
    エスメラルダ号が敵艦を真っ二つにしようが
    戦艦三笠がバルチック艦隊を撃破しようが
    利用者の責任

  • by Anonymous Coward on 2017年09月01日 19時20分 (#3271879)

    違法なことは何もしておらず、迫害には徹底的に戦う。

  • by Anonymous Coward on 2017年09月01日 19時22分 (#3271882)

    自分でサポートする前提でオープンソースを使うか、DOS攻撃ぐらいしか仕掛けられない昔ながらの組み込みに回帰するしかないんじゃ

  • by Anonymous Coward on 2017年09月02日 8時25分 (#3272111)

    少し前まで、中古品でいいから
    ネットワーク接続の防犯カメラ欲しいなぁ…と思っていました。

    でも、なんかラズパイが広まってくると
    自分でOSのアップデートまで面倒見れるのであれば
    既成品よりも安心なんじゃないか?

    セキュリティアップデートの継続が期待できない旧機種の中古購入は
    変にリスクがあるんじゃないだろうか?

    みたいなことを考えるようになりました。

    まぁ、めんどうくさくてラズパイは購入したものの
    ちゃんとネットワークカメラとか動体検知カメラとか
    組んだこと無いんですけどね…

    さぁ、オレが組んだとして
    OSのセキュリティアップデートとかまで
    ちゃんと実施していけるのかよ?

    という運用者,管理者のセキュリティホールに悩む事例

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...