パスワードを忘れた? アカウント作成
13952526 story
ネットワーク

製品のセキュリティ問題で米連邦通信委員会と和解したD-Link、長期の監査を命じられる一方で不正は認められなかったと歓迎 11

ストーリー by headless
和解 部門より
D-Link Systemsが同社のIPカメラやルーターのセキュリティ欠陥により消費者を危険にさらしたとして米連邦通信委員会(FTC)が訴えていた裁判で2日、両者が和解に達したことが発表された(FTCのプレスリリースD-Linkの発表Ars Technicaの記事The Registerの記事)。

FTCはD-Linkが高度なセキュリティを売りにする一方、IPカメラに推測可能な認証情報をハードコードするなど、既知かつ容易に防止可能なセキュリティ上の欠陥を放置していたとして2017年にD-Linkを提訴していた。和解条件としてはD-Linkが20年間にわたって広範なソフトウェアセキュリティ改善プログラムを実施し、同社上級管理職による証明書を年に1回FTCへ提出すること、第三者によるプログラムの評価報告書を2年に1回、10年間にわたってFTCへ提出することなどが盛り込まれている。

ただし、和解によりD-Link側がFTCの主張する違法行為を認めるわけではないとの前提があり、D-Linkでは違法行為に対する同社の責任や、不正なマーケティングは裁判で認定されなかったなどと和解内容を歓迎している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年07月07日 14時16分 (#3647607)

    脆弱度に応じて懸賞金払えば、ホワイトハッカーが脆弱性をバンバン見つけてくれるでしょう。
    金払わないなら、ホワイトハッカーは公表するので困るのはメーカーと。

    一方、この制度をやっている日本の某会社で伺ったところ「管理者権限で〇〇とすれば××の脆弱性ががが」というレポートもあったようで、管理者権限前提ならアレコレしなくてもエエヤン!と思った事が。

    • by Anonymous Coward

      > 金払わないなら、ホワイトハッカーは公表するので困るのはメーカーと。

      それは恐喝では?

      • by Anonymous Coward

        ホワイトハッカーは脆弱性と考えているのにメーカーが脆弱性と認めないのでお金を払わないわけで、公表されてもメーカーとしては脆弱性じゃないから問題ないでしょ?

        • by Anonymous Coward

          脆弱性であることを認めれば無料で教えてくれるの?

          • by Anonymous Coward

            「脆弱性と認める=懸賞金を出す」でしょ?

        • by Anonymous Coward

          恐喝行為には未遂犯も設定されて居るぞ、っと。

    • by Anonymous Coward

      報奨金は出ませんが、D-Linkの脆弱性通報制度自体は存在しますよ。
      https://support.dlink.com/ReportVulnerabilities.aspx [dlink.com]
      https://hackerone.com/d-link [hackerone.com]

  • by Anonymous Coward on 2019年07月07日 14時16分 (#3647606)

    両者じゃなくて?

  • これって販売した商品について、20年間のセキュリティアップデートの提供を義務付けられたという意味か?
    それとも20年間かけて基本ソフトや会社の体質改善に努めるという意味か?

    前者の意味なら、一般向け商品としてはかなり長いサポートになるけど途中で法人解散して責任逃れるとかセコいことしないかな?

  • by Anonymous Coward on 2019年07月07日 16時46分 (#3647661)

    連邦通信委員会はFCCで、今トピックのFTCは連邦取引委員会じゃないですか?

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...