携帯電話の脆弱性にもリコール制度が必要? 92
ストーリー by headless
強制 部門より
強制 部門より
自動車の車載システムで脆弱性が見つかったことによるリコールが7月に話題となったが、携帯電話のOSで重大な脆弱性が見つかってもリコールが実施されることはない。Consumeristによれば、この違いが生まれる原因を簡単に言えば「お役所仕事」なのだという(Consumeristの記事)。
つまり、こういった問題を管轄する政府機関もなければ、規制する法律もないという話だ。米国では連邦取引委員会(FTC)が消費者保護にあたっているが、対応できるのは主に不公正な取引に関連する場合となっている。そのため、OSの脆弱性により情報が盗まれたり、プライバシーが侵害されたりといった問題で対応できる範囲は狭いという。FTCでは消費者のプライバシー保護に関連する法整備をたびたび議会に求めているが、法制化は進んでいないとのこと。
Androidでは最近、次々に脆弱性が公表されているが、端末メーカーやキャリアの都合でアップデートが提供されないことが多く、そもそも脆弱性自体が修正されないこともある。脆弱性の修正を強制するリコールのような制度の必要性について、皆さんはどう思われるだろうか。
つまり、こういった問題を管轄する政府機関もなければ、規制する法律もないという話だ。米国では連邦取引委員会(FTC)が消費者保護にあたっているが、対応できるのは主に不公正な取引に関連する場合となっている。そのため、OSの脆弱性により情報が盗まれたり、プライバシーが侵害されたりといった問題で対応できる範囲は狭いという。FTCでは消費者のプライバシー保護に関連する法整備をたびたび議会に求めているが、法制化は進んでいないとのこと。
Androidでは最近、次々に脆弱性が公表されているが、端末メーカーやキャリアの都合でアップデートが提供されないことが多く、そもそも脆弱性自体が修正されないこともある。脆弱性の修正を強制するリコールのような制度の必要性について、皆さんはどう思われるだろうか。
回収しないと直せないならリコール必要だね (スコア:4, すばらしい洞察)
タイトルだけで言いたいことが表現できてしまった……。
アップデートパッチで対応できるのになんで回収する必要があるのよ。
リコールは不具合出したことに対するぺナルティじゃあない。ユーザーにとってもリモートアップデートの方が便利だし、より良い対応方法を使うべき。
書き換えのきかない昔のロムカートリッジのゲームで致命的なバグが出れば、返金なり修正版との交換なりのリコール相当の対応をしていたわけで、対応手段をまず考慮すべき。
で、対応手段が回収交換以外になくて、かつ重大な影響がある場合にリコールする。
#というか、携帯電話のバッテリーとかに不具合あれば普通にリコールしてると思うんだけど……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:回収しないと直せないならリコール必要だね (スコア:1)
まあセキュリティ以外で既にリコールはじまってますがね。
iPhone 6 Plusでリコールを実施 [cnn.co.jp]
リコール (スコア:3)
パナソニック株式会社(旧 松下電工株式会社)が製造したタンス(システム収納)のリコールが行われます(点検・部品交換) [meti.go.jp]
タンスの角に小指をぶつけて骨折する人が続出したら、タンスメーカは、「それは仕様です。」でよいと思うけど。
タンスの引き出しが落下すると、リコール対象の不具合なのか。
Re: (スコア:0)
なんでスラドの人は下手なたとえを好むんだろう
Re: (スコア:0)
なんでスラドの人はリンク先を読まずにコメントするんだろう。
下手なたとえ話を好むあなた方には、たとえ話に読めるのでしょうが、タンスから引き出しが外れて落下し左足指を負傷する事故が、現実に発生し、リコールしているのです。
たとえ話ではなく、現実の事故ですよ。
Re: (スコア:0)
だれもタンスのリコールを嘘だと言っていないのでは?
ただだれもタンスとスマートフォンの関連性が理解できないだけで。
Re: (スコア:0)
タンスのリコールなんて、たとえ話だとしてもアレゲ度が高くて好きです。
Re: (スコア:0)
このサイトを読んでいるのは、ソフトウエア業界に関わりあるものが多い。彼らはソフトウエアにもリコールが必要だという論調を酷く恐れている。自分たちに重い責任がのしかかってくることを嫌がるあまり、本心ではソフトウエアを作るものにも社会的な責任を果たす必要が高まっていることをわかっていても、議論に蓋をしようとしてしまう。
Re: (スコア:0)
三休「では『いい例え』が存在することを証明してください」
電電公社は偉かった...か? (スコア:1)
昔は電電公社が黒電話(端末)のサポートまでやってたんだよなあ....。
携帯電話に対する脆弱性に対するサポートが何故問題になるかというと、
携帯電話は使用頻度、使用用途から、使用者にとってかなり重要なツール・インフラの一部である。
#使用不可となった場合、生活上重大な障害となる可能性がある。
#用途として、秘匿されるべき情報を扱う場合があり、悪用されると社会生活上重大な障害となる可能性がある
そんな重大なものを民間にまかしている状況を疑う必要があるのかもしれない。
昔は端末までの一括サポートが実現されていたわけだし。
端末機能が高度になっても、高コストになったとしても、それは必要だったのかもしれない。
その安全の必要性が、利便性とのコスパで計る以上の意義があるのであれば。
#それやると、暗黒時代への道ではあるけど
#存在自体がホラー
Re:電電公社は偉かった...か? (スコア:2)
ユーザはレンタル費用払ってたからそれを保守するのは当たり前で、比較対象にするのはちょっと違うかな
Re:電電公社は偉かった...か? (スコア:1)
そういうシステムになっていた理由の一つが、
ユニバーサルサービスを維持するためには国家が管理すべきという思想からじゃなかったかという事です。
ユニバーサルサービスは可用性だけではなく、安全性も含まれると考えます。
どこかの時点で、公的サポートの範疇から端末は切り離してもいいと判断されましたが、どこかで転換する可能性を提起しました。
まあ、そういう方向に舵を切ったとしても、現実的には規制の強化となる方向にいくのではと思いますが。
#存在自体がホラー
Re:電電公社は偉かった...か? (スコア:1)
追伸:
でも、OS自体は国がどうこうできるもんじゃないからねえ。
「国産OS」の夢がなくならないのはよくわかる。
#Google,Apple,MSにがんがん金出して監視する?
#存在自体がホラー
死ぬかどうかじゃないのか (スコア:0)
脆弱性があっても普通は死なないしな
# 社会的には死ぬかもしれんが
(社会的に)死ぬかどうかじゃないのか (スコア:1)
OSの選択肢がないシステムなら、当然端末メーカーやキャリアが責任を負うのだから、リコールすべし。
後は保証法定期限の問題。
Re:(社会的に)死ぬかどうかじゃないのか (スコア:2, おもしろおかしい)
Appleの悪口はやめていただきたい。
最高のものは一つしかないんだから、選択肢がなくて当たり前です。
Re: (スコア:0)
折しも電力自由化が始まったというのにこういう主張ですか。
Re: (スコア:0)
まぁ、119/911とかにDDoSして死人が出るといったテロ行為は可能でしょうね。
なんせ電話ですから。
客も悪い、専門家も悪い (スコア:0)
windows95の場合は、とにかくパッチ充ててないのは使うなと、誰もが言うよな。
普通の人、仕事場の同僚、ネットの人たち、パソコンの記事書く人達。
でも、androidの場合は誰も言わない。
言わないわけではないが、ほとんど言わない。大丈夫とさえいう。
何が嫌かと言うと、この酷い差別が嫌いだ。
Re: (スコア:0)
大丈夫とは言わないが危険度の差がだいぶ違う
当時のOSには起動してネットワークにつないでおくだけで
いろいろやりたい放題になる脆弱性がいくつもあった
昨今のOSはそんな稚拙な脆弱性なんてまず見ないからな
Re: (スコア:0)
Win95でなく、WinXPだった。
なぜ間違えたのだろう。
Re:客も悪い、専門家も悪い (スコア:1)
一瞬「俺か?」と思っちゃったよ。
客先で稼働してるXPマシンのことを、「うぃんどうずきゅうじゅうご」と言ってしまってね。
Re: (スコア:0, おもしろおかしい)
Windowsの場合は特権昇格で好き放題できるけど、
昨今のandroid端末の場合は設計上
OS自体の脆弱性とかで特権取られるとかでない限り、
/systemは書換できないからでないかね。
/dataも基本的にはそれぞれが固有の空間で動いてるしねぇ。
/system書き換えレベルだと
攻撃対象で手法が異なってくることが先に立つからなんだろうけど。
今のところそこまでの強力な攻撃は聞いてないなぁ。
//最初から組み込まれているソフトの不具合で裏側からデータを抜き取る等の脆弱性なら聞くけど、
//それはまあわからんでもないので個人的にはスマホ類では機密データは必要最小限扱うようにしてる。
Re:客も悪い、専門家も悪い (スコア:2, すばらしい洞察)
>Windowsの場合は特権昇格で好き放題できる
(snip)
>昨今のandroid端末の場合は設計上OS自体の脆弱性とかで特権取られるとかでない限り、/systemは書換できないからでないかね。
ものすごいダブルスタンダードに大爆笑した。
この人、たぶん自分の言ってることを理解していない。
Re: (スコア:0)
Androidは権限昇格の脆弱性がないの?
Re: (スコア:0)
> windows95の場合は、とにかくパッチ充ててないのは使うなと、誰もが言うよな。
> 普通の人、仕事場の同僚、ネットの人たち、パソコンの記事書く人達。
> でも、androidの場合は誰も言わない。
> 言わないわけではないが、ほとんど言わない。大丈夫とさえいう。
WindowsのアップグレードはうざいXPやWin7でいいんだよクソMicrosoftと叫び、
iOSのアップグレードはApple最高iOS最高と叫ぶApple信者について一言お願いします
ついでに旧iOS端末に対してセキュリティフィックスを人質に無理やりメジャーバージョンアップを押し付けて
クソ重くして買い替えを半強制するビジネスモデルについても一言あるとうれしいです
Re:客も悪い、専門家も悪い (スコア:1)
> Vistaが重いのはPCメーカーの要望のせい。
実際にはそれ、アンチMicrosoftがばらまいたガセなんだけどね
XPの実装はカーネルも含めてセキュリティ上もう限界に来てて、
抜本的に改善したカーネルを書いたのがVista
そしてそれはWin7でもほとんどそのまま使えているし、Win10にも引き継がれてる
Vistaの問題は、Microsoftは2GBのメモリ実装を推奨と明確に言ってたのに
メーカーは安さ重視で1GBモデル、さらにプリインストールアプリ満載で売ろうとしていたこと
これはメーカーの要望ではなくメーカーの暴走であってMicrosoftの問題ではない
iPhone買ったら値引きと引き換えに販売店が山ほどアプリ入れてきたっていうのはAppleの責任かい?と同じ
Re:客も悪い、専門家も悪い (スコア:1)
#2869413もそうなのですが、OSが重いのとPCが重いのと混同していませんか。
SPあてたり7で改良したりで軽くなるのはOSですけど、メモリたっぷりで軽くなるのはPCです。
Vistaリリースまでは潤沢なリソースを使用してリッチなインターフェースかつセキュアなOSついでに機能満載だったのが、
評判が悪かったので軽量化の方向に向かったのがSP1やWin7です。
そもそもVistaリリース前後でも、軽量化しようと思えばできました。Vista Home Basicとか。
開発期間中に潤沢なリソースを使用したいろいろな機能をVistaの目玉として発表してしまったため
マーケティングの都合でできなかっただけです。
実際開発者向けの目玉機能はいくつか廃止されてますし。
Re: (スコア:0)
Windowsは、業務に使う、安全でないと困るパソコンのOS。
androidは、生活を便利に楽しくしてくれるスマートフォンのOS。
期待される役割が違う。世間では。
かつてのWin95やXPの頃は、
「セキュリティ」に対する具体的な意識を持ったユーザーが少なくなかったし、
ビギナーに注意喚起し啓蒙することがベテランや専門家の役割でもあった。
androidをはじめとするスマートフォンユーザーは、
学校教育などに於いて「セキュリティ」という存在についての教育は受けているが、
実際の利用に於いていちいち気にするユーザーはごく僅か。比率からいえば「居ない
Re: (スコア:0)
Windowsって業務用だけじゃないよ。
Re: (スコア:0)
Windows 95のころだと、パッチを当てたりすることで対策することができて
それをやらない人が多かったので、情報を広める為にわかりやすく警告する必要があった。
Androidの場合、ユーザー側でできることが少ない(セッキュリティ対策ソフトができることも少ない)
正しい情報を伝えても何もできないのではどうしようもない。
本当は個人情報が入った端末で、ネットに常時接続されている今の方が危ないんだけどね。
市場占有率とライフサイクル (スコア:0)
リコール制度を実行に移してもメーカーが潰れないぐらいになったら、
やってもいいと思う。成熟度の目安ともいえるかも。
Re: (スコア:0)
メーカーが潰れないようにキャリアが年1+αで端末を更新出来るプランとかやればいいのか
月4000円で何種類かの中から好きなの選べます的な
Re: (スコア:0)
ほとんどのユーザーが望んでいない余計なカスタマイズをやめればよいだけでは?
Re: (スコア:0)
ならユーザーがiPhoneやNexusを買えば済む話です。
Re: (スコア:0)
ハマグリAppleがやらねーのに、他がやると思う?
放棄しやすくすればいい (スコア:0)
キャリアやメーカーから出資させて
共同の墓場コミュニティーを作らせる
キャリアやメーカー放棄する代わりに
更新に必要なすべてを提供する義務を負う
コミュニティーの
基礎資本はキャリアやメーカーが
ランニングコストは享受するユーザーが
それぞれ負担すればいい
パッチ作成に匿名で参加可能ってのは
逸般人では理解範囲だが
一般人には信用してもらえないので妥協
更新サービスが不当な高額とならないように
NPOであればなおよし
てなところですかね
# 天下り防止はどうしましょうか
Re: (スコア:0)
収支バランスが取れるとはとても思えないんだが…。
キャリアやメーカーがいくらでも金を出してくれるとか?
それだと悪質NPOの飯のタネにしかならなさそうだ。
つか、そんなに優秀でヒマな有志がゴロゴロしてるんだったら
墓場端末のパッチなんかよりもうちょっと前向きの開発してほしいわ。
半端に直すよりとっとと新しいのに替える、これはもう機械が
ある程度複雑になった時点で不可避。
ましてや携帯なんて、ネットワークシステムの一部として
機能するんだから、システム全体が新しくなれば、どんどん
切り捨てざるを得ないのは必然だよね。
A.Iに期待するほうがまだ現実感ある。
Re:放棄しやすくすればいい (スコア:1)
>切り捨てざるを得ないのは必然だよね。
メーカーとキャリアがそれを明確に宣言してくれればいいんですけどねえ
「ソフトウェアアップデート(パッチ含む)の提供は端末販売から2年」とかね
webviewのとき「どう対応するのか」「この端末を使い続けて安全なのか」
「webviewを使ってる公式のサービスは何か」「パッチの提供予定とその確認先(メーカーかキャリアか)」
等について問い合わせたけれど「お問い合わせいただいた一切について何もお答えできません」としか
言われなかったぐらいだからねえ
それとも全てのユーザーに自分で端末の寿命を見極めて行動しろと?
リコールとは (スコア:0)
Googleもベンダー(メーカー)も出来ている、問題はキャリアですねぇ。
脆弱性でリコールというよりも (スコア:0)
勝手にメジャーバージョンアップを要求、旧バージョンはいきなりセキュリティフィックス停止、
利用者には実質選択肢なしでメジャーバージョンアップするとクソ重くなって買い替えを余儀なくされる、
という錬金マジックをまず絶対に禁止すべき
それを禁止してからじゃなきゃ、
脆弱性対策はじゃあやってやるよでもまともに動かなくしてやるよほら買い替えろもう次の脆弱性対策はしなくていいぜウハハ、
ってのが横行して結局消費者のためにならない
脆弱性対策とは名ばかりの買い替え強制だからなそんなの
日本でも、キャリア販売端末には
3年(とか)の「販売時のままのOSメジャーバージョンで」の保守の義務化をするべき
そのバージョンとは別で新バージョンのラインを提供するかどうかはキャリアやメーカーの自由として
それをしない、できない端末はそもそもキャリア販売は禁止でいい
Re:脆弱性でリコールというよりも (スコア:1)
継続的なメンテが必要な商品を、「売り切り」ってどうよ?という話になるような
ショルダーフォンの時代のように、端末の売り切りを止めて、レンタルオンリーにしてみるとか。
キャリア資産なので、キャリアがメンテしてくれるし、「買い替え強制」もされないと。。
Re: (スコア:0)
「必須の脆弱性塞いだら端末の挙動がえらく重くなっちゃいましたてへぺろ」
「必須とされる脆弱性は塞ぎましたが自社開発の謎モジュールについてはもうブラックボックスなので脆弱性とかチェックしてませんてへぺろ」
この手の問題がどこどこ噴出してくる未来しか見えない
Re: (スコア:0)
でもあなたは、脆弱性対策を有料でやることになっても大人しく従う口じゃないでしょ。
結局、あなたのコメントは買い換えるだけのコストを捻出できない人間のくだらない愚痴なわけです。
Win10のアップデート方針は、あなたみたいなお金を出さない人にとっては、一番薬になるんでしょうね。強制アップデートくらいしてやらないと、その団塊世代みたいな厄介で迷惑をかけることだけは一流の根性は治らないでしょうから。
実態を見ようや (スコア:0)
スラド民って、費用対効果で、効果に対する費用が多すぎるときは対応の必要は無いってのが、相場だと聞いてたが。
福島第一の事故では大半がそういう立場だったよね。
今回の件も、おまえらのくだらない個人情報とかに対応する必要はないと、あきらかにケータイの会社に思われてるよね。
だって、現行OSでの対策の費用をおまえら、誰も払ってるわけでもないし。
で、ケータイ会社も対策を示してるよな。新しいOSが載ってる機種を買えと。
そうすればいいじゃん。なんで、自分に、「費用対効果」の火の粉がかかってくると、態度を変えるのかがわからん。
対応してもらいたけりゃ、金を払え。個人で払うのは難しいので、普通の人は、新しいOSが載った機種そのものに金を
払うことになるが、やってることはまあ同じこった。
Re:実態を見ようや (スコア:2)
費用対効果で、効果に対する費用が多すぎるときは対応の必要は無い
移植されたパッチを入手するっていう効果に対して、新端末購入はあまりに費用がかかりすぎて、選択できない。脆弱性対策はコスト度外視で必須(笑うところ)、携帯を持つこともコスト度外視で必須(笑うところ)。だから使用を中止するか無視して使うか、いずれにしろ許容できない選択肢しかない。
だからスラド民的に対処不能ってことになってふーたれるわけだ。
ここから生まれてくる不満ってのは、PCみたいにモデル固有部分を小さく切り分けて、その上に共通のOSを載せろという、毎回だいたい一貫して同じ要望になると思う。Googleが完成されたコンパクトなOSを出荷する見込みは全くないんだから、大容量のROMだけ乗せてPCに近づいたフリだけしてないで根本的に設計を変えればいいんだよ。
Re: (スコア:0)
うっとうしいので、ROM焼けない機種は買わないことにしてますよ
あ、1000えんとかで叩き売られてたら押さえますけどね
そのくらいの価値です。言っておきますよ。
Re: (スコア:0)
原発の場合は運用の問題であって、原発自体の問題じゃなかったですし。
これの場合は完全にハード自体に問題。
さらに言えば、影響範囲の規模が広すぎる上、犯罪行為に利用される可能性が高いからですよと。
Re: (スコア:0)
> これの場合は完全にハード自体に問題。
「携帯電話の脆弱性」といったら、どう考えてもソフトの問題だろう。
規約 (スコア:0)
規約からはどうなるのか
見たことことないけど