現在地 HOME > 掲示板
> IT6 > 304.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT6 > 304.html
★阿修羅♪
|
|
| Tweet |
http://blog.livedoor.jp/geek/archives/6974061.html
2004年09月19日:アキバよもやま
TOSHIBA ネットdeナビ RD-XS40がコメントスパムの踏み台にされているようだ
nlog(n)さんのハードディスクレコーダーからのコメントスパム攻撃によると、nlog(n)さんのサイトに794件のコメントスパムがあったそうだが、日本国内のIPアドレスからのコメントスパムもあったため、該当アドレスにアクセスしたところ「TOSHIBA ネットdeナビ RD-XS40」が見つかったそうだ。ソース駿河電力/スク水.JPさん
nlog(n)さんにトラックバックされている今日のさそり座(Blog)さんによると
RD-XS53のパスワードの設定は本体設定の中にありますが、取扱説明書にはあまり書いてなかったような気がします。ブラウザからもパスワードが設定できますが設定箇所は下の赤丸です。書いたあとで大事なこと思い出した・・・これ(DVDレコーダー)にアクセスしたログって見る方法ないんだ〜。そりゃ〜使える罠。(←IPアドレスの記録ないからどこから来たか特定できません)
TOSHIBA ネットdeナビ RD-XS40はネットワークに対応していて、パソコンからWebブラウザでアクセスして使うようになっているが、予約画予約の際に「iEPG」を取得することからプロキシ機能も持っていることが、コメントスパムの踏み台にされた原因のようだ。
ハードディスクレコーダーとはいえ、ネット上にサーバー立てるのと同じことだが、マニュアルにサーバー管理の方法や作法を書いても、使用者が実際に設定するとは限らないので、こういったネットに接続できる家電の場合は、デフォルト設定を「すべて拒否」にして、使う部分(アクセス元IP、アクセス元ホスト、アクセス先ホスト)だけを許可する方法にしておいた方がいいと思うし、今日のさそり座(Blog)さんにRD-XS53の設定画面キャプチャーが掲載されているが、インターネットに接続することが前提になっている機器で本体セキュリティー「使用しない」という内容が用意されているのは、正気の沙汰とは思えない。
これからデジタル家電を踏み台にするのが流行るかも。RDシリーズって、外部からのアクセスされた時に機器名が分かるような返事をしているのだろうか?
東芝ネットdeナビシリーズを使っている人はユーザー名と本体パスワードを設定して、可能であればブロードバンドルーターで外部からの公開ポートへのアクセス制限をした方がよさそうだ。ネットdeナビはログも取ってないようだし・・・
関連リンク
●東芝、120GB HDDとEthernet搭載DVD/HDDレコーダ「RD-XS40」
パソコンからiEPG予約や、タイトル編集が可能
●東芝HDD/DVD レコーダー・プレーヤー
関連記事
●PC1台しか使ってなくてもブロードバンドルーターは必須 20分で悪質なソフトウェアに侵入されてしまうかも[2004/8/19]
題名には必ず「阿修羅さんへ」と記述してください。