三菱電機の幅広い家電製品に脆弱性 56
ストーリー by headless
脆弱 部門より
脆弱 部門より
maia 曰く、
三菱電機は9月29日、同社製の複数の家電製品で脆弱性が見つかったと発表した (CVE-2022-33321: PDF、 CVE-2022-29859 / CVE-2022-33322: PDF、 ITmedia NEWS の記事、 TECH+の記事、 日本経済新聞の記事)。
対象は 2013 年以降に出荷したエアコン、無線 LAN アダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IH クッキングヒーターなど 20 種類約 300 万台。対策としては、ユーザーが管理アプリからのシステム更新や、無線 LAN ルーターの設定見直し等をする必要がある。
20 種類は製品種別であり、製品型番別では 100 機種を超える。20 種類の製品が影響を受ける CVE-2022-33321 は重要な情報の平文送信の脆弱性で、HTTP 接続でベーシック認証を使用していることに起因するものだ。また、8 種類の製品が影響を受ける 2 件の脆弱性は、CVE-2022-29859 が解放済みメモリの使用の脆弱性、CVE-2022-33322 が XSS 脆弱性。CVE-2022-29859 は 3 月に修正された amb1_sdk の脆弱性となっている。
つまり (スコア:5, おもしろおかしい)
幅の狭い家電製品を使っていれば安心ということだな
Re:つまり (スコア:5, おもしろおかしい)
つ 三菱スリムエアコン(Mr.Slim) https://www.mitsubishielectric.co.jp/ldg/ja/air/products/slim/concept/... [mitsubishielectric.co.jp]
Re: (スコア:0)
家電?
Re: (スコア:0)
昔ハルク・ホーガンがホーソーナーガー!ってエアコンを横に引き延ばすCMがあったな。
日立だったけど。
Re: (スコア:0)
設置場所的制約で霧ヶ峰の室内機が幅の狭い奴買ってたが、LAN接続なんてないので多分大丈夫だろう。
炊飯器は (スコア:5, おもしろおかしい)
シリアルでファームの作業したらいいよ。
Re:炊飯器は (スコア:2, おもしろおかしい)
シリアルでファームの作業したらいいよ。
つまり農作業から始めよと
# そのシリアル違う
Re:炊飯器は (スコア:1)
serialとcereal, firm(ware)とfarmがかかっていて、かなり高度なダジャレと思われます。
Re: (スコア:0)
ファームにハムもはかってるかも、と一瞬思った自分は
ハム(薄切りならソーセージ類も含む)をあつあつごはんにのっけて
海苔巻きよろしくご飯を巻いて食べるの大好きですが
賛同は得られないと自負しています
Re: (スコア:0)
スパムにぎりならたまに食べたくなる。
Re: (スコア:0)
野暮レスの重ね塗り
Re:炊飯器は (スコア:1)
野暮な方にもプラモデが付くことにはモヤるが、スラドでは野暮な方だけにプラモデついてる事もある…
Re: (スコア:0)
スラドに何故か多いマジレスマンが、こういう解説で初めてそういうことだったのかと理解してるのかも。
Re: (スコア:0)
その昔シャレではなく本当にシリアルポート経由でファームウェアのアップロードをやりましたが、
今どきの機器のファームウェアってブートローダ部分だけでもメガバイト越えなので、
シリアルポート経由だともの凄く時間がかかるんですよね・・
予想時間3時間って言われたときには思わず「えっ」って言っちゃいました。
とりあえず…… (スコア:3)
むしろ「まだ耐用年数が過ぎていない三菱電機の製品で、これらと同様の欠陥が無いと、ほぼ言い切れるモノ」もリストアップした方が良いのではないだろうか??
それをネットにつなげて何するの (スコア:1)
という製品が大量にあふれた時期のものですね。IoTとかもてはやされていたり。今も言うのかな?
これ系の元祖みたいなのは某社のHDDレコーダーかと記憶します。
ネット接続を有効にしておくと、パスワード無しで外部からアクセス可能、ポートも全開でスパムの踏み台などやられ放題になるという
驚きの品。
https://www.jpcert.or.jp/tips/2008/wr084701.html [jpcert.or.jp]
おかげでポートがどうのとか分らないなりになんとなく意識するようになりました。(全部塞いでしまえば良いんだろう?派)
まる。
Re: (スコア:0)
いや、本当に何でネットワークと関係あるんだと不思議に思う製品が多いのは驚き
製品寿命を考えるとネットワーク越しに繋がるサービスだかサーバーの方が先に運用停止することは確実だから、ネットワーク接続無しでも動くようにすべきだと思うし、それなら最初からネット接続なんてしなきゃいいじゃんとなってしまう......
Re: (スコア:0)
出力制御が必要な太陽光発電システムはまあネット接続わかりますが、
たしかに換気扇とかもとは知りませんでしたし、つながる必要な理由も考えつかないですね
HEMSをかませばなんでもかんでもなのでしょうか
Re: (スコア:0)
換気の統合制御に使います。ビル管理室から一括管理できるので便利なんですよ。>換気扇やロスナイのネットワーク機能
Re: (スコア:0)
そういうのはビル管理専用の有線LANがあるけど普及してないのかね?
専用規格使うよりも汎用品の方が良いということはあるかもしれないが.......
Re: (スコア:0)
これだけ換気が重要になった時代に、換気の制御の重要性が考えつかないのは考えが浅すぎじゃないですかね
Re:それをネットにつなげて何するの (スコア:1)
換気の制御の重要性と、インターネット接続の必要性に、なんの関係があるの?
そもそも、インターネット側から制御しなければならないという理由が、思いつかないのだけど・・・
Re: (スコア:0)
アホな老人が食いつくんだよな
Re: (スコア:0)
ネット(LAN)接続して制御は普通でしょ?
Re: (スコア:0)
これだけネット脆弱性が重要になった時代に、ネット接続の是非が考えつかないのは考えが浅すぎじゃないですかね
Re: (スコア:0)
太陽光発電システムも機能的にはスタンドアロンで十分だしネット使わずにできるよ
Re: (スコア:0)
電灯をつけ、換気orクーラーを入れ、お風呂を沸かし…というのを家に帰り着く前に始めたいらしい
Re: (スコア:0)
給湯器に関しては、エコキュートだと翌日の天気予報を見て貯湯量を変えてますね。
エアコンはみまもり系の機能が有るので室温が一定範囲外になるとアラートが上がって、外からオンにしたりとか出来る。
どっちもネット接続が必要。
Re: (スコア:0)
ペット飼っているる家とかではネット接続出来るエアコンってのは選択肢に上がりますね。
関連リンク (スコア:1)
三菱電機の液晶テレビREALシリーズで画面表示が断続的に消えるトラブル [it.srad.jp]
これのように現象が目に見えたら気付くけど(これは自動的に回復した)、
脆弱性は目に見えないから一般人は発表に気付かなければ対処できないよね。
-- う~ん、バッドノウハウ?
OS・ウェブブラウザ・ネットアプリすらすぐサポート打ち切られるのに (スコア:0)
家電をネットに繋ぐなど、セキュリティー的寿命は機械的寿命より遥かに短い物となる。
まあ家電屋としてはその方が望ましいのだろうが。
Re: (スコア:0)
だからフロッピーディスクでデータを書き換えるようにしておけと
Re: (スコア:0)
ここはきちんと対応してるじゃん。
Re: (スコア:0)
家電の寿命って20年くらいだから。
Re: (スコア:0)
そこら辺は個体差や製品差があるから何とも言えんよ
同じメーカーの同クラス製品でも10年で壊れることもあれば20年以上使えることもある
耐用年数は10年とされている製品が多いしね
Re: (スコア:0)
壊れるというか無視できない影響度になると
例えディスコン製品でも対応せざるを得なくなるのがネット系
Re: (スコア:0)
インターネット対応がなくとも、製品寿命が尽きた電気製品は早めに交換が吉だと思うね。
いきなり出火でもされたらたまらんわ。
Re:OS・ウェブブラウザ・ネットアプリすらすぐサポート打ち切られるのに (スコア:2, 参考になる)
製品寿命が尽きても発火とか致命的な問題が起きないことを保証させるのが長期使用製品安全点検・表示制度とかの規制なんだけどね。
終売後30年以上とかでも発火が多発するとメーカー負担で周知させて回収させるし。
Re: (スコア:0)
ネットで炎上するのも発火に含めたり
Re: (スコア:0)
ネットから切断しても動くようになってるなら特に気にしないかな
Re: (スコア:0)
だったらネットにつなぐ意味ないじゃん。
Re: (スコア:0)
ネットにつながなくても動くけど、ネットにつなぐともっと便利になる・・・・
って感じで差別化の一つとしてはありだと思うけど。
Re: (スコア:0)
無線接続タイプだと外から勝手に接続できる
同じライブラリを使っていれば全滅 (スコア:0)
作る時は楽でいいけど穴がひとつ見つかると全滅になる恐ろしさ。
かと言ってライブラリを使わない選択肢なんてないし、
必要性の低いものをネットに繋ぐなという消極的な方法しか思いつかない。
Re: (スコア:0)
セキュリティ上の理由でとか言って違うライブラリを使っていると、既知のバグが再発とかしたり、特定の製品だけ修正漏れたりするので、同じライブラリを使うのは当然な気がしますね…。
大量仕入れ。価格交渉。 (スコア:0)
三菱電機
僕は、製品を作るときは、部品の、一番良いものを選んでいく。全部品で、一番良いものを選ぶ。
高いんじゃないか?と、思われるが。
大量に購入して作るので、安くなる。
多分、部品とか、出し惜しみして、安いのとかを使っているんじゃないか?
あとは、部品を大量に仕入れて、価格交渉だ。
Re: (スコア:0)
日本語が不自然だけど、海外メーカーの人? Appleならありかも。
Re: (スコア:0)
ネット接続家電に脆弱性問題が出て来る事はおろか、サーバーサービス打ち切りで使用不可能になるとか、日本や三菱だけの話と思ってるのかね?
Re: (スコア:0)
コンセントの数だけ壁にコネクタが並んだり、キッチンの床に床にハブが転がってたりするのか。
それは嫌だな。
(PLC普及しなかったな。)
Re: (スコア:0)
アース端子付き3Pケーブルや変換アダプタみたいにピン増やして規格化すりゃいいんじゃね。
PLCはユーザーにはどうしようもない制約条件が多いからなあ。