ELECOMのルータでGPL違反とセキュリティ問題が発覚 276
ストーリー by wakatono
問題てんこもり? 部門より
問題てんこもり? 部門より
Anonymous Coward曰く、" Tatsuyoshi tech diary によれば、 ELECOM のルータ LD-WBBR/B のファームウェアの解析の結果をもってサポートに問い合わせたところ、メーカから以下のような回答を得たとのこと。
- 配布されているファームウェア内に Linux の Kernel を含んでいるが、 ソースの公開要求に対して「弊社独自のソースコードが含まれているため、公開できない」。
- 以下のセキュリティ問題が存在するが、fix はしない。
- telnet にて外部から login することができる
- 隠し cgi にて root 権限で任意のコマンドが実行可能
- 外部からファームウェアのアップデートができる
- telnet にて外部から login することができる
なお、同様の問題が以下の機種にも存在するとのこと。
- elecom LD-BBR/B
- elecom LD-WBBRA/P
- elecom LD-WBBRB/P
- elecom LD-WBBRB/AP
ファームウェアをダウンロードして簡単に解析してみたが、ファームアップデートプログラムの中には以下のファイルやプログラム類が含まれているように見える。
- Linuxカーネル本体
- iptables
- glibcをはじめとする各種ライブラリ群
- その他基本コマンド類
ハードウェアメーカの GPL 問題 (スコア:5, 参考になる)
別件ですがLinkStation/玄箱をハックしよう [yamasita.jp]のセキュリティホール [yamasita.jp]を見ていたりすると、この手の組み込み機器メーカーはセキュリティに対して積極的ではなさそうです。
Mc.N
Re:ハードウェアメーカの GPL 問題 (スコア:1, すばらしい洞察)
そうではなくて、これらのメーカーは「リコール隠し体質である」と表現すべきではないでしょうか。
バックドア付きらしい、これは悪質 (スコア:4, 参考になる)
「tsubota」という隠しアカウントがあるらしいですね。
ツボタという人が、製品が売れたところで、製品に入り込んで、
ネットワークを征服するつもり
でもあったのだろうかと疑われてもしかたないですね。
修理しないそうですから、欠陥ではないということだから、
意図的に用意している機能と解されますし。
ファームウェアのアップデートにパスワードがない?? (スコア:2, 参考になる)
このポートはWAN側からアクセスできるのだろうか…。
あ、タレコミ文の「外部からファームウェアのアップデートができる」というのはこれのことなのかな。
ブロードバンドルータってこの程度のものが多かったりするんだろうか。
Re:ファームウェアのアップデートにパスワードがない? (スコア:1)
俺は素人だからよく分からんけど、その俺でさえもそういう仕様でないとマズイだろうと思いつくのに・・・・。
>ブロードバンドルータってこの程度のものが多かったりするんだろうか。
ここまで酷いのはそうそう無い・・・と思いたい。
管理画面がLAN側からしか見れなくても認証無しのやつとか、たまーにあるけどね。
結局、市販品ではやりたいことをやりたいようにできず(本当はできるのかも知れないけど、俺はこっちの方が楽と判断した)VIAのEdenにFreeBSDを入れてブロードバンドルーターを仕立て上げたのでID
コンサルビジネスになる? (スコア:4, 参考になる)
ビジネスになりませんか。
既に存在していると思いますが露出が弱いかも。雑誌や web でこの手のネタを扱う際に自社が同じ轍を踏まない、というかオープンソースと良い関係を組むための選択肢として紹介して欲しいような。
# まぁ何事も前向きにって事で
Re:コンサルビジネスになる? (スコア:1)
市販ルータの堅牢性 (スコア:3, 参考になる)
作ったら作りっぱなしという会社が多いのでしょうか。GPL違反も許せないのですが、むしろそちらはどうでもよくて、きちんとしたセキュリティ対策をお願いしたいところです。
他の方も指摘されてますが、今回のエレコム製品は、GPL違反といいバックドアが仕掛けられてる事といい、開発段階から相当の悪意をもって製作された製品なんでしょうね。対応もしないということは会社ぐるみでしょうか。こんなバックドアをしかけてまで何をしたかったのか、聞き出したいところです。
Re:市販ルータの堅牢性 (スコア:3, 興味深い)
~2万円ぐらいのローエンドの、いわゆる「ブロードバンドルータ」というやつは、台湾ベンダが作ってる板とファームを「web インターフェース変更してね」と、ちょろっとカスタマイズさせているのがほとんど。
というわけで、大抵は、販売しているメーカではいじりようが無いと思われ。 更に、台湾ベンダ側も、一度売った板のアフターフォローに対してはひどく冷淡なので。
# かなりやばいので AC
このバックドアはどう悪用され得るか (スコア:1, 参考になる)
どういう危険があるかを整理しておく必要があるでしょうね。
まず考えられるのは、パケットをキャプチャして、パスワードとか、口座番号とか暗証番号とか、送受信中のメールの内容とかを、ネットワークでどこかに転送するということが考えられますね。
他には、ルーティングを変えてしまって、隣の家を経由するように仕向けて、隣の家で通信内容を傍受するとか?
パンドラの箱は開かれた (スコア:1)
>
>他には、ルーティングを変えてしまって、隣の家を経由するように仕向けて、隣の家で通信内容を傍受するとか?
・spam発信用、Dos用、不正侵入用の踏み台。
・ワーム/ウィルスの感染。
・めちゃくちゃなファームを書き込まれることによってルータ自体が使い物にならなくなる。
ファームを外部から書き換え可能にできるならそれこそ何でもできるよね。
Re:市販ルータの堅牢性 (スコア:2, 参考になる)
この場合はソースコードを要求をする権利はあると思うのだが…….GNU 一般公衆利用許諾契約書 [opensource.jp]の 2節,3節が根拠ね.
Re:市販ルータの堅牢性 (スコア:1, すばらしい洞察)
雪印の牛乳で食中毒が出て社長の対応とかを見たときに、許せないと考える資格は、実際に食中毒の被害に遭った人にしかないと、あなたはおっしゃるわけですか。
専門家という名のど素人 (スコア:2, 参考になる)
製品開発の担当者にまで遡ればGPLに則した対応をしなければ大きな問題になることを認識している人はいるだろうに。
サポセンは程度の低い客ばっかり相手にして、そういうのを馬鹿にしているうちに、自分たちが多くの分野ではど素人に他ならないということを忘れて尊大になっているんでしょう。
コンプライアンス (スコア:2, すばらしい洞察)
それ以前にELECOMは企業としてコンプライアンスの観念がないってことだよね。
法令遵守にかかわる問題が通報されたときの企業としての対応がなってない。
Re:専門家という名のど素人 (スコア:2, 興味深い)
#全然無関係の2社相手にサポートのクレーム投げて「報告書出せ」っつったら、両社の外注先が同じだった、なんてのも。
自分の購入した物の問題だったら、返品のネタにするために「分からない」って言わせるだけの目的でサポートを利用する手もあるんですが、今回みたいな問題にはよっぽど管理がしっかりした窓口じゃないとヘタな対応になるのが当然でしょうね。
Re:専門家という名のど素人 (スコア:1, すばらしい洞察)
* 元のコードがGPLであることを知っててエレコムのライセンスになるのを放置した
* エレコムのライセンスでリリースすることを知っててGPLのコードを流用した
どちらだとしても、知っててやってるわけですから、無知なサポートより悪質だと思います。
Re:専門家という名のど素人 (スコア:1, 興味深い)
かなりの大手でも電話窓口は全部外注にお任せってパターンがあります。
もちろん、それを理由にこんなふざけた返答をしても良いことには鳴りませんけど。
Re:専門家という名のど素人 (スコア:1, 興味深い)
セキュリティホールがあるとか、ライセンスに問題があるとか、サポート窓口に言っても、意味がわかんないんだろうけど、そこで専門担当者にすぐに代わればいいものを、必死で自分たちで処理しようとして、らちがあかなかったりするわけですよ。自分で処理するというのが、サポセンのオキテなんでしょうけど、はっきり言って報告するほうにとっても迷惑。
食品なんかは必ず電話番号が書いてありますよね。あれってどのくらいの量の電話が来ているんでしょう? サポート窓口ほどは多くないんじゃないかな。
Re:専門家という名のど素人 (スコア:1)
普通のサポートがやるべきようなことまでそっちに連絡が行って結局機能しなくなりそうな。
サポートで埒があかないなら、本社の代表に電話かけて……はて、GPLの件は法務担当につないでもらえばいいが、セキュリティホールはどこに?
もちろん、これをやるときに「GPLに違反しとるやんけコラ」みたいな態度に出ると、別の意味で法務担当とか所謂「お客様相談室」のお仕事になってしまいますが。
サポート (スコア:1, 興味深い)
Re:サポート (スコア:1, おもしろおかしい)
サポートにとっては理想かもしれないが、開発にとってはデメリットがある。
新しいソフトの開発あるいはデバッグにとりかかって1分もたたないうちに
昔のソフトのデバッグをさせられると言うデメリットが。
製造物責任法の対象では? (スコア:2, 参考になる)
製造物責任法 [houko.com] より:
Re:製造物責任法の対象では? (スコア:2, 参考になる)
PL法は欠陥が原因で生じた被害を補償するもので、欠陥そのものに
責任を負わせる法律ではありません。
すなわち、なんらかの被害が発生しない限りこの法律の出番はありませんし、
被害が生じた場合に生じた被害が救済されても、被害の原因(ルータ)そのものに対する弁済についてはこの法律の範疇ではないです。
Re:製造物責任法の対象では? (スコア:2, 興味深い)
製造物責任法第3条但し書きは、「その損害が当該製造物についてのみ生じた場合にはこの限りではない」として、損害が製造物の欠陥のみにとどまる場合には製造物責任にあたらないと規定しています
そもそも、製造物責任法は製造物の欠陥によって生じた損害につき、被害者(債権者)の立証責任を軽減するための民法(不法行為法)の特別規定(特別法)なので、製造物そのものの瑕疵に係る損害については民法の債務不履行(民法415条)または瑕疵担保責任(民法570条)が適用されます。従って、製造物責任法を直接適用することはできません
#不法行為法(民法719条)が適用できないわけではないですが
>ソフトウェアは対象か対象外かを簡単に分類すると
製造物責任法の対象(客体)の標準は何かというと、「製造または加工された動産」(法第2条1項)です。ソフトウェアは無体財産権ですから当然に動産ではありません。しかし、製造物に組み込まれたソフトウェアの欠陥に起因して、当該製造物に「通常有すべき安全を欠き」、それが原因として損害が発生した場合には損害賠償の対象になります
>今回の製品が一度もファーウェアのアップデートを行わせていなければ対象になると思いますが
アップデートそのものは製造物責任を問われることはないと思います。ただ、アップデートした結果製品に生じた欠陥については定かではありませんが、製造者とアップデートの提供者が同一であり、かつ欠陥がアップデート前にも存在していて、アップデートの結果修正されていない場合には製造物責任を問われる可能性は高いと思います
#この場合も債務不履行か瑕疵担保責任を問う方が立証は楽だと思いますが
Re:製造物責任法の対象では? (スコア:2, 参考になる)
アメリカでは、消費者が何らかの被害を受けた場合、メーカーが自らの責任でないことを立証(消費者が受けた被害と製品の欠陥に因果関係がないことを証明)する必要がありますが、消費者は被害事実だけを示せばいいのです。
対して日本では、消費者がメーカーの責任であることを示す必要があります。しかし、メーカーの製造工程なり設計に不備があることを、消費者が独自に調査して証明するということは、事実上不可能です。
このため日本の製造物責任法は、実質「メーカー保護法」と言われています。
GPLってさ…… (スコア:2, 興味深い)
でも、多分、経営側の人間が見た場合には、そういう風に思う人もいるんじゃないんですかね。「言っているだけだろ」って。
GPLに立派な契約としての風格を与えるためには、どうしたらいいんでしょうね。一度、どこかで本格的に裁判を起こして、そこで判例を作るのが、それなりに権威を与えるやりかたなんじゃないかと思っているんですけど、どうでしょう?
間違っていますかね、この考え方……。
でも、何らかの法的事例を作って、それを説得材料に使うって、ひとつの手だと思うんですけど。
日本だと、誰がどういう手順で訴えればいいんでしょうね。
Re:GPLってさ…… (スコア:2, 興味深い)
事がライセンスなだけに、言ってるという事がまさに重要なんだけどね。
この製品がGPL派生物なのは明らかになったのだから、
とりあえずGPL派生物であるのを前提に購入すれば、原著作者と購入者
との間でGPL契約が交わされた事にならないかな?んで、購入者の
「ソースを受け取る権利」を主張して、それが侵害されたとして訴える
事はできんのだろうか。
elecom側はGPL派生物であるのを認めているのですよね。
ならば、GPL派生物である事を期待して購入した人に対しては自動的に
「ソースを受け取る権利」を認めたという事なので、最初のステップ
でGPL契約が交わされた事にならなくてもいいような気もしますが。
日本の場合GPLは紳士協定? (スコア:2, 興味深い)
あくまでも一部のマニア(2chやスラド)がギャーギャー言っても無視無視ほっときゃ収まるって・・・
てな感じで。
世の中には『GPLに汚染される』という言葉も有りますし。
開発者の方はライセンスに神経質になるのは解りますし。
メーカーも使用許諾を製品に設けている以上、製品に使用されている
OSなりツールなりのライセンス(契約)を遵守するべきですよね。
現在ではまだまだGPLは紳士協定程度にしか理解されていないんでしょうね?
どこぞの団体がGPL違反でELECOMでも良いですが適当なスケープゴートを訴えませんかね、
司法の場で各種ソフトウェアのライセンスに法的強制力が有るかどうか、
白黒はっきりさせた方が判例が有った方が今後の為にも良いような気がするんですが。
Re:日本の場合GPLは紳士協定? (スコア:2, すばらしい洞察)
現在の日本の法律では著作権を放棄できませんので、パブリックドメインだからという言い訳も通用しない筈です。
今回の製品に内包されたソフトウェアに自分の足跡が残っている人なら、誰でも損害賠償請求が可能なのではないでしょうか。
オフトピですが、私はGPL汚染という考え方について、非常に疑問を感じます。それこそが、今回のような「自分の為なら他人の権利を侵害する事など問題ない」という考え方に基づく物なのではないでしょうかね。
Re:日本の場合GPLは紳士協定? (スコア:2, おもしろおかしい)
言葉なんていくらでも作れますしね。
対抗して、これからは「GPLに祝福されている」と呼びましょう。
守ろうとしているところもそれなりに (スコア:1)
> と言うのが正直な所じゃないでしょうか。
本音レベルではどうか知りませんが、少なくとも守っている、或いは守ろうと努力している(ように見える)メーカーもそれなりにあると思いますよ。
SHARPのGalileo [sharp.co.jp]はソースコードをWebで公開してますし、NECのAX10はユーザーに対しFirmwareのソースを実費で提供する旨の通知が商品に同梱されていました。
# メルコもなんかの商品でそのような文書があったような
# 気がするんですがちょっと記憶が曖昧……
KyaTanaka
Re:守ろうとしているところもそれなりに (スコア:1)
Re:守ろうとしているところもそれなりに (スコア:1, 参考になる)
それなりにある、ではなくて、ほとんどのメーカーはきちんと遵守していると思いますが。
組み込み業界誌(日経エレとか)でもGPLに関しての特集が組まれたりしてますし、
GPLという概念そのものは充分浸透してるかと思います。
ex)ソニーの例 [sony.net]
ちなみにソニーの場合は、Linux採用機にはライセンスに関する小冊子が独立して添付されていました。
GPLも全文載ってたし、ソースリストを請求する権利があることなどもきちんと説明されていましたよ。
それできちんと運用が成立しているメーカーは山ほどあるんだから、
「ソースを公開することが業務の妨げになる」なんてのは言い訳にならない。
#組み込み屋さんなのでAC
まだ悪用されていなかったという保証はない (スコア:2, 興味深い)
対応のまずさという3点の問題があるわけですが、
今までにバックドアが公表されてなくても、悪用されていない
って保証はないわけで、もしかしたら開発者自身があんなことや
こんなことをやってるかも知れないですわな。
会社で把握しているユーザーの情報からIPアドレス割り出しして
侵入してどうこうというのはなかなか簡単にはできないと
思いますが、不可能ではないですし。
まー可能性としては低いとは思いますが、でも保証はない。
で、バックドア以前の問題?ですが、まともなセキュリティ概念を
もつ人は少ないですし、その辺も何とかしないとまずいですよね。
仕事でユーザー宅に行くことが多いのですが、ブロードバンド
ルーターにパスワード設定している人ほとんどいないし。
ルーター販社数社の初期パスワードのパターンさえ覚えれば
何でもやりたい放題、みたいな。
Re:まだ悪用されていなかったという保証はない (スコア:2, 参考になる)
うちに実物があるんですが、普通にブラウザからhttp://(IPアドレス)/iptables.cgiと打つと、
問題のページが表示されてしまいます。
WANに直結してる場合は、完全にアウトですね……。
ちなみに、秋葉原のクレバリーではまだ普通に売ってると思います。
少なくとも3月末の時点ではまだ売ってることを確認済み。
ただ、私が買った時もそうでしたが、新ファームでブリッジモードが追加されているので
単なる無線APとして使うのがオススメ、という店頭表示がありました。
ファイアーウォールが付いた有線ルーターにぶら下げるという使い方ならば
あとはMACアドレスフィルタ等の無線側の防御さえしてれば一応は大丈夫だと思います。
私もそういう風な使い方をしています。
とりあえず halt で対策 (スコア:2, 参考になる)
pppoe 使ってたらダメだけど。
# 再起動したら元に戻るので注意
エレコムの見解。 (スコア:1, 参考になる)
著作権
本ソフトウェアプログラム/ドキュメント等の著作権は、エレコム株式会社(以下当社)が著作権または配布権を所有します。
使用許諾の範囲・改編の制限
ダウンロードした本ソフトウェアプログラム/ドキュメント等は、対象製品を所有するお客様のみ、使用が許諾されるものとします。お客様は、お客様が所有する製品のアップデートおよび機能等を拡張する目的でのみ、ご利用いただけます。また、お客様はダウンロードした本ソフトウェアプログラム等を改編することはできません。
第三者の使用
お客様は、本ソフトウェアプログラム/ドキュメント等を販売、頒布、貸与、移転その他の方法で、第三者に使用させることはできません。
免責
お客様が、ダウンロードされた本ソフトウェアプログラム/ドキュメント等を使用された結果の影響について、弊社は一切の責任および、業務から免れるものとします。
別ルーターの別ファームだけども、扱いとしては同じでしょう。
まぁなんにしてもサポセンの対応がマズったね。
Re:エレコムの見解。 (スコア:1, 興味深い)
あ、そうだ、ACCS(社団法人コンピュータソフトウェア著作権協会) [accsjp.or.jp] に摘発してもらってはどうでしょう?
こういうときのためにある公益法人ですよね。
そりゃやっぱり (スコア:1, おもしろおかしい)
つまり (スコア:1)
ELECOM製品あまり持ってない。 (スコア:1, おもしろおかしい)
(うそですよ)
Re:ELECOM製品あまり持ってない。 (スコア:1)
盗聴が行なわれた可能性があります.気をつけましょう.
むかしの… (スコア:1)
ころがってるんだけど、これはコレガのOEMと思われるもので、
コレガのファームを植え付けても動作するものでした。
コレガのほうは、大丈夫?
Re:不買運動! (スコア:1, 参考になる)
悪質である事は確かですね。もし開発者がこの製品をしらみつぶしに調べれば一気に大量のルーターをクラックできますからね。本当何する気だったんだろう?テロ?
それはさておき祭りの悪寒。
とりあえずスレ [2ch.net]とスレ [2ch.net]を発見
Re:不買運動! (スコア:1)
すみません、今現在、既に買っていません…
って書こうと思ってたら、手にしていた日産マーチのチョロQマウス、
ELECOM製でした…○| ̄|_
----------------------------------------
You can't always get what you want...
Re:デザイナーなかじま (スコア:2, 興味深い)
リンク先読んでハナミズ出たよ (^^;
Re:kernel-2.2.x系なら (スコア:2, おもしろおかしい)
Re:GPL の限界 (スコア:2, 参考になる)
Re:それは (スコア:2, 興味深い)
そして、そういう(プロプラな製品で金儲けしてる)立場のモノの見方で世の中を見渡すと、単に流行にのせられてGPLモノを利用するよりもBSDモノを利用した方が商売がやりやすい、ということの証明でもあるような気がします。もちろん、これはGNUの理想とは逆行する話ですし、実際にはGPLでも商売がうまくいってる会社もあるわけですけど、今回のようなケースだと、一般的にはLinuxを組み込むよりはNetBSDでも使った方が良かったんじゃないの?って思うんですけどねぇ。