パスワードを忘れた? アカウント作成
15808317 story
セキュリティ

三菱電機の幅広い家電製品に脆弱性 56

ストーリー by headless
脆弱 部門より
maia 曰く、

三菱電機は9月29日、同社製の複数の家電製品で脆弱性が見つかったと発表した (CVE-2022-33321: PDFCVE-2022-29859 / CVE-2022-33322: PDFITmedia NEWS の記事TECH+の記事日本経済新聞の記事)。

対象は 2013 年以降に出荷したエアコン、無線 LAN アダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IH クッキングヒーターなど 20 種類約 300 万台。対策としては、ユーザーが管理アプリからのシステム更新や、無線 LAN ルーターの設定見直し等をする必要がある。

20 種類は製品種別であり、製品型番別では 100 機種を超える。20 種類の製品が影響を受ける CVE-2022-33321 は重要な情報の平文送信の脆弱性で、HTTP 接続でベーシック認証を使用していることに起因するものだ。また、8 種類の製品が影響を受ける 2 件の脆弱性は、CVE-2022-29859 が解放済みメモリの使用の脆弱性、CVE-2022-33322 が XSS 脆弱性。CVE-2022-298593 月に修正された amb1_sdk の脆弱性となっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • つまり (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2022年10月02日 15時59分 (#4337162)

    幅の狭い家電製品を使っていれば安心ということだな

  • 炊飯器は (スコア:5, おもしろおかしい)

    by Y-taro (38255) on 2022年10月02日 19時42分 (#4337234)

    シリアルでファームの作業したらいいよ。

    • Re:炊飯器は (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2022年10月02日 20時57分 (#4337261)

      シリアルでファームの作業したらいいよ。

      つまり農作業から始めよと

      # そのシリアル違う

      親コメント
      • by Anonymous Coward on 2022年10月03日 1時10分 (#4337328)

        serialとcereal, firm(ware)とfarmがかかっていて、かなり高度なダジャレと思われます。

        親コメント
        • by Anonymous Coward

          ファームにハムもはかってるかも、と一瞬思った自分は
          ハム(薄切りならソーセージ類も含む)をあつあつごはんにのっけて
          海苔巻きよろしくご飯を巻いて食べるの大好きですが
          賛同は得られないと自負しています

          • by Anonymous Coward

            スパムにぎりならたまに食べたくなる。

        • by Anonymous Coward

          野暮レスの重ね塗り

          • by Anonymous Coward on 2022年10月03日 10時55分 (#4337404)

            野暮な方にもプラモデが付くことにはモヤるが、スラドでは野暮な方だけにプラモデついてる事もある…

            親コメント
            • by Anonymous Coward

              スラドに何故か多いマジレスマンが、こういう解説で初めてそういうことだったのかと理解してるのかも。

    • by Anonymous Coward

      その昔シャレではなく本当にシリアルポート経由でファームウェアのアップロードをやりましたが、
      今どきの機器のファームウェアってブートローダ部分だけでもメガバイト越えなので、
      シリアルポート経由だともの凄く時間がかかるんですよね・・

      予想時間3時間って言われたときには思わず「えっ」って言っちゃいました。

  • by Takahiro_Chou (21972) on 2022年10月03日 11時17分 (#4337422) 日記

    むしろ「まだ耐用年数が過ぎていない三菱電機の製品で、これらと同様の欠陥が無いと、ほぼ言い切れるモノ」もリストアップした方が良いのではないだろうか??

  • by Anonymous Coward on 2022年10月02日 18時49分 (#4337218)

    という製品が大量にあふれた時期のものですね。IoTとかもてはやされていたり。今も言うのかな?
    これ系の元祖みたいなのは某社のHDDレコーダーかと記憶します。
    ネット接続を有効にしておくと、パスワード無しで外部からアクセス可能、ポートも全開でスパムの踏み台などやられ放題になるという
    驚きの品。
    https://www.jpcert.or.jp/tips/2008/wr084701.html [jpcert.or.jp]
    おかげでポートがどうのとか分らないなりになんとなく意識するようになりました。(全部塞いでしまえば良いんだろう?派)
    まる。

    • by Anonymous Coward

      いや、本当に何でネットワークと関係あるんだと不思議に思う製品が多いのは驚き
      製品寿命を考えるとネットワーク越しに繋がるサービスだかサーバーの方が先に運用停止することは確実だから、ネットワーク接続無しでも動くようにすべきだと思うし、それなら最初からネット接続なんてしなきゃいいじゃんとなってしまう......

      • by Anonymous Coward

        出力制御が必要な太陽光発電システムはまあネット接続わかりますが、
        たしかに換気扇とかもとは知りませんでしたし、つながる必要な理由も考えつかないですね
        HEMSをかませばなんでもかんでもなのでしょうか

        • by Anonymous Coward

          換気の統合制御に使います。ビル管理室から一括管理できるので便利なんですよ。>換気扇やロスナイのネットワーク機能

          • by Anonymous Coward

            そういうのはビル管理専用の有線LANがあるけど普及してないのかね?
            専用規格使うよりも汎用品の方が良いということはあるかもしれないが.......

        • by Anonymous Coward

          これだけ換気が重要になった時代に、換気の制御の重要性が考えつかないのは考えが浅すぎじゃないですかね

          • by Anonymous Coward on 2022年10月02日 23時09分 (#4337308)

            換気の制御の重要性と、インターネット接続の必要性に、なんの関係があるの?
            そもそも、インターネット側から制御しなければならないという理由が、思いつかないのだけど・・・

            親コメント
            • by Anonymous Coward

              アホな老人が食いつくんだよな

            • by Anonymous Coward

              ネット(LAN)接続して制御は普通でしょ?

          • by Anonymous Coward

            これだけネット脆弱性が重要になった時代に、ネット接続の是非が考えつかないのは考えが浅すぎじゃないですかね

        • by Anonymous Coward

          太陽光発電システムも機能的にはスタンドアロンで十分だしネット使わずにできるよ

        • by Anonymous Coward

          電灯をつけ、換気orクーラーを入れ、お風呂を沸かし…というのを家に帰り着く前に始めたいらしい

          • by Anonymous Coward

            給湯器に関しては、エコキュートだと翌日の天気予報を見て貯湯量を変えてますね。
            エアコンはみまもり系の機能が有るので室温が一定範囲外になるとアラートが上がって、外からオンにしたりとか出来る。
            どっちもネット接続が必要。

            • by Anonymous Coward

              ペット飼っているる家とかではネット接続出来るエアコンってのは選択肢に上がりますね。

  • by ukenerai (36532) on 2022年10月03日 16時52分 (#4337670) 日記

    三菱電機の液晶テレビREALシリーズで画面表示が断続的に消えるトラブル [it.srad.jp]
    これのように現象が目に見えたら気付くけど(これは自動的に回復した)、
    脆弱性は目に見えないから一般人は発表に気付かなければ対処できないよね。

    --
    -- う~ん、バッドノウハウ?
  • 家電をネットに繋ぐなど、セキュリティー的寿命は機械的寿命より遥かに短い物となる。
    まあ家電屋としてはその方が望ましいのだろうが。

    • by Anonymous Coward

      だからフロッピーディスクでデータを書き換えるようにしておけと

    • by Anonymous Coward

      ここはきちんと対応してるじゃん。

      • by Anonymous Coward

        家電の寿命って20年くらいだから。

        • by Anonymous Coward

          そこら辺は個体差や製品差があるから何とも言えんよ
          同じメーカーの同クラス製品でも10年で壊れることもあれば20年以上使えることもある
          耐用年数は10年とされている製品が多いしね

          • by Anonymous Coward

            壊れるというか無視できない影響度になると
            例えディスコン製品でも対応せざるを得なくなるのがネット系

    • by Anonymous Coward

      インターネット対応がなくとも、製品寿命が尽きた電気製品は早めに交換が吉だと思うね。
      いきなり出火でもされたらたまらんわ。

    • by Anonymous Coward

      ネットから切断しても動くようになってるなら特に気にしないかな

      • by Anonymous Coward

        だったらネットにつなぐ意味ないじゃん。

        • by Anonymous Coward

          ネットにつながなくても動くけど、ネットにつなぐともっと便利になる・・・・
          って感じで差別化の一つとしてはありだと思うけど。

      • by Anonymous Coward

        無線接続タイプだと外から勝手に接続できる

  • by Anonymous Coward on 2022年10月03日 6時29分 (#4337342)

    作る時は楽でいいけど穴がひとつ見つかると全滅になる恐ろしさ。

    かと言ってライブラリを使わない選択肢なんてないし、
    必要性の低いものをネットに繋ぐなという消極的な方法しか思いつかない。

    • by Anonymous Coward

      セキュリティ上の理由でとか言って違うライブラリを使っていると、既知のバグが再発とかしたり、特定の製品だけ修正漏れたりするので、同じライブラリを使うのは当然な気がしますね…。

  • by Anonymous Coward on 2022年10月03日 12時35分 (#4337464)

    三菱電機

    僕は、製品を作るときは、部品の、一番良いものを選んでいく。全部品で、一番良いものを選ぶ。
    高いんじゃないか?と、思われるが。
    大量に購入して作るので、安くなる。

    多分、部品とか、出し惜しみして、安いのとかを使っているんじゃないか?

    あとは、部品を大量に仕入れて、価格交渉だ。

    • by Anonymous Coward

      日本語が不自然だけど、海外メーカーの人? Appleならありかも。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...