東芝製DVDレコーダRD-XS53のiEPG機能の危険性について

●はじめに

製品・サービス・業界動向業界動向

2004年10月8日（金） 12時00分

●はじめに

　先日、東芝製DVDレコーダーRD-XS40がコメントスパムのリレー機器として使用されたという報告をセキュリティホールmemo経由で発見した。（※）
　すでにこの件に関して他のメディアでもデジタル家電に対する危険性について紹介されている記事を見るようになったが、今回筆者はRD-XS53のもつ機能に関する危険性とその危険性を軽減するための策について記載する。
　危険性を具体的に述べる前に以下の点について先に警告する。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
★購入したばかりのDVDレコーダーに、直接LANケーブルを接続して「番組ナビ」機能や「ネットdeナビ」機能を利用していると、インターネット上から勝手にビデオ予約をされたり、本体設定を変えられてDVDレコーダーの操作を見知らぬ人にのっとられてしまう恐れがある。

★インターネットから直接DVDレコーダーへ接続できる環境は、他のシステムへ侵入する足がかりに利用される可能性がある。
DVDレコーダーにはログを参照する機能が備わっていないため、最悪の事態を想定するとDVDレコーダーを接続したことによる賠償問題まで発展する可能性がある。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

（※）
nlog(n):ハードディスクレコーダーからのコメントスパム攻撃
http://nlogn.ath.cx/archives/000288.html

セキュリティホールmemo: ハードディスクレコーダーからのコメントスパム攻撃
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/09.html#20040917_RD-XS40

●RD-XS53におけるiEPG(Internet Electronic Program Guide)機能

　iEPG機能というのは、簡単に言うとインターネット上でTV番組表を提供する機能で、主にTV番組予約機能と連動して利用される。

　RD-XS53においてiEPG機能を利用するものの1つに、「ネットdeナビ」機能がある。
　「ネットdeナビ」機能は番組表を提供するサイトへアクセスし録画予約ができる機能である。特にPCからブラウザ上で番組予約ができるため使いこなすことができれば非常に便利な機能の1つである。
　ここでは「ネットdeナビ」がデフォルトで利用する東芝のサイトで提供するTV番組表「テレビサーフ」へアクセスし番組を予約する様子を大雑把に説明する。なお、URLに示すrd-xs53はホスト名である。

1.ブラウザで http://rd-xs53/ と入力し「ネットdeナビ」へアクセスする

2.「ネットdeナビ」にあるIEPG1のボタンを押す。

このとき http://rd-xs53/@@@@@@www.rd-style.com/tv/index3.html へアクセスされる。（アドレスバーにも表示される）

3.テレビサーフへログインし番組表へアクセスする。

このとき http://rd-xs53/@@@@@@www.backendtv.net/tv.php?.... へアクセスしながら、テレビ番組表が表示される。

4.予約したい番組を選び「iEPG」ボタンを押す。
「ネットdeナビ」が提供している「録るナビ」の予約情報に反映される。

5.画面の内容を確認・修正し、登録ボタンを押す。本体に番組予約が設定される。

　大体このような流れであるが、URLを見ればRD-XS53を経由してインターネットへアクセスするような流れになっていることが一目でわかるようになっている。

●RD-XS53の検証

　今回はさらに以下の項目について所有するRD-XS53を使い検証した。

1.RD-XS53が外部へ公開しているポート
2.「ネットdeナビ」機能を使った想定外のアクセス

─
1.RD-XS53が外部へ公開しているポート

これはRD-XS53をインターネットに接続すると、インターネットからど
のような機器に見えるかを検証したものである。

公開しているポートを検査した結果は以下のとおりである。

公開ポート　　　　　　　　　　　　利用用途
−−−−−−−−−−＋−−−−−−−−−−−−−−−−−−−−
21/tcp(FTP) 　　　　｜ネットdeダビング（対応機器が必要）
80/tcp(HTTP)　　　　｜ネットdeナビ
1048/tcp　　　　　　｜リモコンアクセス（ネットdeナビから利用）
137/udp (netbios-ns)｜ネットdeダビング（対応機器が必要）

※80/tcpと1048/tcpはRD-XS53の設定によりポート番号を変更することができる。
※21/tcp,137/udpの利用用途については以下の情報を元に記載した。
　2ch: 東芝HDD＆DVDレコネットdeダビング解析 2
　　　 http://hobby5.2ch.net/test/read.cgi/av/1093141161/

バナーについても確認したが、外部から見た限りではどのようなサーバなのか一切わからないようになっていた。

※この記事には続きがあります。詳しくは、10月14日発行のScan Security Wire（ http://www.ns-research.jp/c2/scan/ct.html ）に掲載されます。

【執筆】
　────────────────
　伊藤公樹（ときん）
　E-mail : tokin@hauN.club.ne.jp
　URL : http://tokin.hauN.org/
　────────────────

《ScanNetSecurity》