製品のセキュリティ問題で米連邦通信委員会と和解したD-Link、長期の監査を命じられる一方で不正は認められなかったと歓迎 11
ストーリー by headless
和解 部門より
和解 部門より
D-Link Systemsが同社のIPカメラやルーターのセキュリティ欠陥により消費者を危険にさらしたとして米連邦通信委員会(FTC)が訴えていた裁判で2日、両者が和解に達したことが発表された(FTCのプレスリリース、
D-Linkの発表、
Ars Technicaの記事、
The Registerの記事)。
FTCはD-Linkが高度なセキュリティを売りにする一方、IPカメラに推測可能な認証情報をハードコードするなど、既知かつ容易に防止可能なセキュリティ上の欠陥を放置していたとして2017年にD-Linkを提訴していた。和解条件としてはD-Linkが20年間にわたって広範なソフトウェアセキュリティ改善プログラムを実施し、同社上級管理職による証明書を年に1回FTCへ提出すること、第三者によるプログラムの評価報告書を2年に1回、10年間にわたってFTCへ提出することなどが盛り込まれている。
ただし、和解によりD-Link側がFTCの主張する違法行為を認めるわけではないとの前提があり、D-Linkでは違法行為に対する同社の責任や、不正なマーケティングは裁判で認定されなかったなどと和解内容を歓迎している。
FTCはD-Linkが高度なセキュリティを売りにする一方、IPカメラに推測可能な認証情報をハードコードするなど、既知かつ容易に防止可能なセキュリティ上の欠陥を放置していたとして2017年にD-Linkを提訴していた。和解条件としてはD-Linkが20年間にわたって広範なソフトウェアセキュリティ改善プログラムを実施し、同社上級管理職による証明書を年に1回FTCへ提出すること、第三者によるプログラムの評価報告書を2年に1回、10年間にわたってFTCへ提出することなどが盛り込まれている。
ただし、和解によりD-Link側がFTCの主張する違法行為を認めるわけではないとの前提があり、D-Linkでは違法行為に対する同社の責任や、不正なマーケティングは裁判で認定されなかったなどと和解内容を歓迎している。
外部からの脆弱性通報制度も付けてほしかった (スコア:2, おもしろおかしい)
脆弱度に応じて懸賞金払えば、ホワイトハッカーが脆弱性をバンバン見つけてくれるでしょう。
金払わないなら、ホワイトハッカーは公表するので困るのはメーカーと。
一方、この制度をやっている日本の某会社で伺ったところ「管理者権限で〇〇とすれば××の脆弱性ががが」というレポートもあったようで、管理者権限前提ならアレコレしなくてもエエヤン!と思った事が。
Re: (スコア:0)
> 金払わないなら、ホワイトハッカーは公表するので困るのはメーカーと。
それは恐喝では?
Re: (スコア:0)
ホワイトハッカーは脆弱性と考えているのにメーカーが脆弱性と認めないのでお金を払わないわけで、公表されてもメーカーとしては脆弱性じゃないから問題ないでしょ?
Re: (スコア:0)
脆弱性であることを認めれば無料で教えてくれるの?
Re: (スコア:0)
「脆弱性と認める=懸賞金を出す」でしょ?
Re: (スコア:0)
恐喝行為には未遂犯も設定されて居るぞ、っと。
Re: (スコア:0)
報奨金は出ませんが、D-Linkの脆弱性通報制度自体は存在しますよ。
https://support.dlink.com/ReportVulnerabilities.aspx [dlink.com]
https://hackerone.com/d-link [hackerone.com]
両社? (スコア:0)
両者じゃなくて?
Re:両社? (スコア:2)
20年間にわたって広範なソフトウェアセキュリティ改善プログラムを実施し (スコア:0)
これって販売した商品について、20年間のセキュリティアップデートの提供を義務付けられたという意味か?
それとも20年間かけて基本ソフトや会社の体質改善に努めるという意味か?
前者の意味なら、一般向け商品としてはかなり長いサポートになるけど途中で法人解散して責任逃れるとかセコいことしないかな?
FTC (スコア:0)
連邦通信委員会はFCCで、今トピックのFTCは連邦取引委員会じゃないですか?