「変なホテル舞浜」卵型ロボの脆弱性報告、なぜ「不審扱い」された？ 不幸なすれ違いの背景

連載：ITの過去から紡ぐIoTセキュリティ 家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。 この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。 顧問弁護士に相談した上で回答は「保留」 Tapiaは、Androidを搭載し、音声で操作できるコミュニケーションロボットです。変なホテルではコンシェルジュの役割を果たし、宿泊客向けに交通情報や天気などを教えてくれますが、NFC（近距離無線通

[Falky]

「報償金目当て（まあ、有り体に言えば、ゆすり）」と判断されたというメールの文面を見たいよねー。と思っていたら、こちらで見れた http://foxsecurity.hatenablog.com/entry/2019/10/28/093000

[nikoli]

すれ違いではなく、ベンダー側の聞く耳を持たないとか情報感度の問題だと思う。

[megazalrock]

ブコメに関連記事貼られてるけど、自分からコミュニケーション断っておいて「不幸なすれ違い」は無いだろ。

[vanbraam]

"報奨金を目的"にする事がなぜ"不審"なのか?(報奨金は正当な対価を表す言葉). "90日"の問題視といい,実質恐喝と看做してたのかも. ここ10年程のセキュリティ業界の慣習にHISと弁護士が無知過ぎ.サービス提供者の無知は罪

[mezamashi0540]

ロボットを売りにしているホテルなのに、エンジニア系が登場しないのが驚きだわ。組織としての事業継続性が考慮されてないんじゃないかな。

[deep_one]

これを「不幸なすれ違い」というのは違うと思うが。

[p260-2001fp]

ほぼ経営者の問題

[emt0]

MJI側は自社のメイン事業に関わる内容だし、HISが何言おうとちゃんと対応しても良かったと思うが、対応見るとプライドか金渋って場当たり的な対応しかしてなくて、こんな会社が見守り事業とか駄目だろって印象。

[ad2217]

本人に連絡取るのが嫌なら別のセキュリティ専門家に見せてもいいのに怠慢だよな。日本は売上数の多いだけの会社がセキュリティコンサルティングしてたりするから専門家が信用できないのかも知れんが。

[YonYon]

顧問弁護士がもう少しITに詳しくて、問題解決に向けた判断ができていれば防げたって感じかな。連絡を受けて自分達で対策した箇所は全くの見当違いだったっていうのがまた悲惨だな…

[itochan]

英語メール→捨てよう　という脳。業務だよね？　／　「報奨金を目的とした不審な」、これが宝くじなら、これがガチャなら…

[hdkINO33]

IPAの対応案内は英語でもあるけど報告の案内は日本語だけか……やっぱ弁護士の前にIPA行っておけばという話になるか https://www.ipa.go.jp/security/english/about_partnership.html

[efcl]

脆弱性に対するハンドリングが上手く行かなくて公開された事例

[Cujo]

p.3『脆弱性を指摘された企業が最初に取る態度は「否定（無視）」や「怒り」なのだそうで、これは洋の東西を問わない問題なのかもしれません』

[diveintounlimit]

顧問弁護士この辺理解無さそうだな。一方的に通信遮断しといて不幸なすれ違いとかどの口が言うんだ。

[cl-gaku]

レベルに違いがありすぎて魔法のように思えたんだろう

[cive]

運営会社の言い訳にしては酷すぎる

[renos]

今回の問題を取材してその背景かと思ったら違った

[rideonshooting]

これは恥ずかしい…日本企業体質

[rexy]

なぜセキュリティ専門家に聞かずに弁護士に聞いたのか

[kunigaku]

IPAに報告すればよかったのかな？

[mval1]

名前検索したらlinkedinで経歴ちゃんと見られるし, 不審メール扱いは残念かなあ。 https://www.linkedin.com/in/lrvick

[tarotheripper]

元のメール読んでみたが、不審な印象はないし、ゆすってるとも思えないなぁ。

[ota-5maCEN_bay]

TLでも授業でも見てる

[slkby]

日本の経営者に何を期待しても無駄

[oakbow]

ここまでのものじゃないけど、セキュリティ上の問題を見つけてその会社の代表メールアドレスに連絡しても、ほぼ確実に問題ないって返事で内部の開発者に確認もしてくれないんだよね。面倒なのでもうやらなくなった

[alt-native]

卵型ロボットって どんなカテゴリだよ。タピアしかいないよ。コミュニケーションロボットって言おうよ

[gabill]

いったんIPA通すような仕組みがあれば信頼しやすそう。

[u-north]

卵は性的

[greenbuddha138]

ことなかれ思想

[crosscrow]

経営者はまあ、仕方ない。弁護士がとんでも無く無能。

[blueeyedpenguin]

元のメール文読んだけど、やっぱり対応が残念としか言いようがない。

[htnmiki]

おもしれー

[knok]

この業界で90日の猶予は普通だと思っていたのだが…

[ya--mada]

なんか良く分からないな、脆弱なwifi環境は街に溢れてる。ローカルアクセスが前提になる脆弱性は指摘はするけど、それ以降のレスポンスは期待しないもんだろ。

[anoncom]

残念セキュリティ事案

[mshkh]

泊まるのにはためらうね

[plusqplusq]

"ソフトウェアである以上、バグや脆弱性を完全にゼロにすることは不可能。だからこそ、それを前提に、脆弱性に対応するプロセスを整備していくことが必要"　この前提がもっと広まって欲しい。セキュリティに限らず