●はじめに 先日、Scan Security Wire Vol.295(2004/10/14)において、「東芝製DVDレコーダRD-XS53のiEPG機能の危険性について」を執筆させていただいたが、その中で事情により割愛させていただいた部分があった。 実はこの中にソフトウェア製品脆弱性関連情報に届け出た情報が含まれており、先日JVNに対応情報が公開されたことやIPAから脆弱性届出情報の2004年第3四半期の報告において、情報家電に関する話題にも触れられていたことは記憶に新しいことと思われる。 今回執筆する内容は実際に公開されるまでの一連の流れについて執筆している。脆弱性を見つけた際に脆弱性関連情報に届け出るかどうか迷った場合には届け出てほしいと願っている。●今回の届出に対するIPAと東芝の対応 今回脆弱性関連情報に届け出た後から公開されるまでの対応内容は私の知る限りで以下のとおりである。IPA/ISEC:2004/ 9/22 9:34:22 vuln-info@ipa.go.jpへ投稿(同日) 15:30ごろ IPA#E7DDE712で届出受理のご連絡をいただく2004/ 9/30 0:13:36 届出情報に関する変更を申請(同日) 11:45ごろ 変更届受理のご連絡をいただく2004/10/15 10:00:00 IPA#E7DDE712の情報を公開(同日) 15:45ごろ IPA#E7DDE712の情報公開に関するご連絡をいただく(同日) 20:00:00 この報告を含め過去にJVNで公開されたものすべてについて「発見者」の項目を「報告者」へ修正東芝:2004/10/ 4 重要なお知らせ:セキュリティ設定のお願いの公開2004/10/ 5 重要なお知らせの更新(該当機種の追加) 東芝の対応はすべてホームページを見て確認しただけである。脆弱性関連情報の取り扱いプロセスに則って取り扱われるため、脆弱性情報を届け出てから公開されるまで報告者はただ待つのみとなる。●脆弱性関連情報に届け出た背景 筆者は仕事の関係で脆弱性関連情報に関する届出については以前から知っていたし、一方DVDレコーダーのiEPG機能は脆弱性になり得るのではないかということもわかっていた。しかし、この事実を東芝のサポートセンター(※)や脆弱性関連情報に関する届出をしようとした時点で、以下のことが頭に浮かび上がり躊躇したことを今でもはっきりと覚えている。(※正確には「RDシリーズサポートダイヤル」である) ・対象製品がソフトウェアではないこと ネーミングの問題だと思われるが、DVDレコーダーはソフトウェア製品とは一見見分けがつかないため対象外と決め付けようとしていた。 「ソフトウェア製品」という言葉は確かに定義されているが、一般的にルータやファイアウォールなどネットワーク機器を想定していたため情報家電も本当にソフトウェアに入るのだろうか?という疑問が湧いた。【執筆】 伊藤公樹(ときん) E-mail : tokin@hauN.club.ne.jp URL : http://tokin.hauN.org/(この記事には続きがあります。続きはScan本誌をご覧ください)http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
