2004年04月27日

仕掛けてあったバックドアを「当社メンテナンス用」と主張するエレコムの態度はどうかと思う




インプレスブロードバンドウォッチによると、エレコムは不正アクセスが可能な脆弱性があったとして、該当ルーターのアップデートファームウェアを公開したそうだ。アキバBlogでお伝えしたバックドアの仕掛けてあった無線ブロードバンドルーターだ。「ファーム更新する予定はないと言っていたらしいが、方針を変更したのか。よしよし」と思ったが全然良くない。理由は2つ。








-







新しいファームウェアで取られた対策は





●当社メンテナンス用に設けていた管理用アカウント/CGIを削除しました。


●WAN側からのファームアップを禁止しました。


●ファームアップの際にパスワードが必要になりました。


●ファームウェアファイルにスクランブルをかけました。






対応版のファームウェアの内容はよさそうだ。


しかしエレコムの対応が気に入らない理由は2つある。











<第1の理由>


エレコムはルーターに仕掛けてあったバックドアをメンテナンス用と主張していること


メンテナンス用アカウントを本気で用意していたのなら、エレコムは相当アホだ。どうせウソでしょ?


「意図しないうちに仕組まれていたアカウント」というと印象が悪いので「当社メンテナンス用アカウント」と発表したのだろう。メンテナンス用アカウントはマニュアルにも記載はないし。インターネット側からもログインできるメンテナンス用アカウントはありえない。





本当にメンテナンス用だとするとエレコムの他のルーターにも「当社メンテナンス用アカウント」を用意してありそうだが、どうなんだ?








<第2の理由>



Tatsuyoshi tech diaryさんにより報告されていたセキュリティ問題については、4/24(土)にエレコムから「この件についての対応方針を変更した」との連絡を受けたそうだ。おいおい、4/24に脆弱性を報告した人に方針の変更したとの連絡をいれたそうだが、その時点でエレコムは危険性をアピールするために発表すべきだったな。エレコムのWEBを見る限り、エレコムは該当ルーターにセキュリティー上の危険性があったにもかかわらず、ファームウェアが完成するまで告知しなかったようなので





一般用ルーターではありがちな対応だが、エレコムは一般ユーザーが脆弱性にさらされるという認識があったにもかかわず、危険性の告知をしない会社のようだ












ブロードバンドルータに関する重要なお知らせにもある「セキュリティ向上に務める」のはネットワーク製品であればあたりまえ。ユーザーからの脆弱性報告の際に「この問題に対する fix は行わないし、その予定もない」と返答するようなエレコムはネットワーク製品を売る資格はないよ。ヤメレ。どう考えてもエレコム製ルーターを使うべきではない。





ちなみにGoogle様で「ブルードバンドルーター ブロードバンドルーター」をキーワードで検索すると、アキバBlogの先日のエレコムルーターの脆弱性の記事が3番目に出るぞ。








関連記事


某ブロードバンドルーターには出荷時にバックドアが仕掛けられている











アキバBlogトップページへ








この記事はよもやま[2004] カテゴリーに含まれています |Ajax Amazon Edit
トラックバックURL
http://trackback.blogsys.jp/livedoor/geek/460369
この記事へのトラックバック
エレコムが意図的に外部からログインできるようにしていたとは思いませんが 商品の内容に関する管理が甘かったのは間違いないでしょうね httpdがrootで動いていたりtelnetが開いていたりとちょっと考えられない状態で販売していたのですから・・・
よーく考えよー広報は大事だよぉ【やなぎもの糯】at 2004年04月27日 11:32
http://blog.livedoor.jp/geek/archives/460369.html アキバblogより そもそもはこの記事より→ http://blog.livedoor.jp/gee ...
[IT] 仕掛けてあったバックドアを「当社メンテナンス用」と主張するエレコムの態度はどうかと思う【Aerodynamik】at 2004年04月27日 12:57