キングジムの「テプラ」やパスワードマネージャーに脆弱性が見つかる 39
ストーリー by nagazou
脆弱性 部門より
脆弱性 部門より
キングジムの製品で脆弱性問題があったという。一つはラベルプリンタ「テプラ」(PRO SR5900P・PRO SR-R7900P)。もう一つは同社の提供しているパスワードマネージャー「ミルパス」(PW10・PW20)に脆弱性が存在しているという。テプラでは認証情報の保護が不十分だったとされ、ネットワーク経由でアクセスできる場合、インフラストラクチャモードでアクセスポイントに接続するための認証情報が漏洩するおそれがあるとしている。すでに対策済みのアップデータが公開されている(キングジムリリース、Security NEXT、マイナビニュース)。
ミルパスはIDやパスワードなど最大200件を端末内部に保存して管理するツール。PW10とPW20のファームウェアに機微情報を暗号化していない脆弱性が存在することが判明したとしている。第三者により端末内の保存されたパスワードを窃取されるおそれがあるとしている。これらの製品はサポートを終了しており、キングジムは製品の使用を中止するよう利用者に呼びかけている。また廃棄時はデータをすべて消去することを求めている(パスワードマネージャー「ミルパス」PW10 / PW20 における機微な情報を暗号化していない脆弱性、Security NEXT)。
ミルパスはIDやパスワードなど最大200件を端末内部に保存して管理するツール。PW10とPW20のファームウェアに機微情報を暗号化していない脆弱性が存在することが判明したとしている。第三者により端末内の保存されたパスワードを窃取されるおそれがあるとしている。これらの製品はサポートを終了しており、キングジムは製品の使用を中止するよう利用者に呼びかけている。また廃棄時はデータをすべて消去することを求めている(パスワードマネージャー「ミルパス」PW10 / PW20 における機微な情報を暗号化していない脆弱性、Security NEXT)。
パスワードマネージャーなぞ必要ない (スコア:2, おもしろおかしい)
パスワードはテプラで印字してディスプレイに貼っておくからね
Re:パスワードマネージャーなぞ必要ない (スコア:2, おもしろおかしい)
ちゃんと何のパスワードかも印字しとけよ。
必要な時に役に立たなくなるから。
Re: (スコア:0)
IDも忘れずにだな。
Re: (スコア:0)
https://hardware.srad.jp/comments.pl?sid=828401&cid=4187442 [hardware.srad.jp]
別コメントに出てるけど、テプラは熱転写だから、使用済みリボン引き出すと印刷した履歴が分かるよ。
使用済みリボンの粉砕、リボン破断処理も忘れずに。
Re: (スコア:0)
せっかくのバックアップなのに進んで破壊するなんて
テプラテープの廃棄方法も知りたい (スコア:1)
手元に使用済みのテプラテープがたくさん残っています。
インクリボンを引き出すと印刷した内容が見えてしまいます。
こういうのは脆弱性にはならないのでしょうか。
セキュアな捨て方を知りたいです。
Re: (スコア:0)
ぐぐってみたところシュレッダーを使った方法とそのコツが出てましたよ。
あるいは見られて困る用途には使わない。
Re: (スコア:0)
テプラでセキュリティ情報とのことで
パスワードをテプラで印刷する姿を想像しました。
付箋であきたらず、ついにテプラでパスワードを貼り付ける人が現れたのかとビビった。
Re: (スコア:0)
田舎住みなら燃やしてしまえるんだがな
マルチでも肥料袋でも何でも一緒くたに野焼きするから行政含めて誰も気にしない
Re: (スコア:0)
メイドロボ燃やすんか
Re:テプラテープの廃棄方法も知りたい (スコア:1)
Re: (スコア:0)
ちぃ覚えた
Re: (スコア:0)
テプラ専用のリサイクルボックスがあるじゃん。
ダイモで万全 (スコア:1)
だから切支丹伴天連の妖術など使わずダイモにしておけとあれほど
#「ダイモ・テープ・ラ・イター」というCMソングが脳内リフレインされるのだが、いつどこで聞いたんだろう
Re: (スコア:0)
ダイモテープってまだあったんだなぁ
# 粘着が弱くなってくるとプラスチックの弾性で弾け飛ぶんだよなあれ
Re: (スコア:0)
みーんなー が おまえをー 読ーんでるーー
Re:ダイモで万全 (スコア:1)
真っ赤に燃やしてしまえば読まれる心配なかったのに
Re: (スコア:0)
心に火をつけてもテープに火をつけなきゃダメだろ…
Re: (スコア:0)
クレジットカードの話題じゃないけど、昔はエンボス加工されたテープというか
薄いプラスチック板みたいなのが電気のスイッチのところに貼ってあったなあと思ったが
あれのことなんですな>ダイモテープ
売ってない (スコア:0)
ヤフオクとメルカリ覗いてみたけどミルパスは見当たらなかった
どんぐらい出回ってるんだろこれ
# べ、別に消し忘れたパスワードが手に入るとか思ったわけじゃ
なんだよそれ (スコア:0)
うちのテプラ…
えーと、PRO SR5900P 該当品でしたw
ありがとうございます。
上の人
>インクリボンを引き出すと印刷した内容が見えてしまいます。
分解してもやしたら?
<簡単なテプラの説明>
テプラはカートリッジは
2色のテープで構成されています。
下地になるシートがメインで
カートリッジ内右下にあるのがインク部分
カートリッジ内下側あるのはインクを巻き取るためのリールです。
シートにインクになるシートを熱で転写して余ったものをリールで巻き取る構造です。
インクの部分にデータが残ると言っているわけです。
構造的には何色のシートでも何色の色でも印刷できるようになってます、
モデルによって印刷の解像度が違います。
ローエンドは180dpi
高画質は300dpiや360dpiです。
使えるインクの幅が違うラインナップです。
SR5900Pが360dpiが可能なモデル、キーボードがありません。
Re: (スコア:0)
もうちょっと解像度が高いとデカール自作に使えるんだけどなぁ。
つか公式でデカールなリボン出してほしい。
Re: (スコア:0)
隣の家との行き来が自転車じゃないと辛いとかいうレベルの田舎じゃない限り、上級国民が住むような家だろうと通報されると思うぞ。
常日頃からBBQとかしてたら別かもしれんが。
# BBQよくやってる家で火事起きたら、通報が遅れたりするのかね?
# 煙の色が違うとは思うけど。
Re:なんだよそれ (スコア:1)
紙のメモ帳最強 (スコア:0)
こういうのがあるからパスワードマネージャは面倒だ。
・データ漏洩
・データが壊れる
・サーバに接続できずデータが見れない
等々。
色々試してるけど、プライベートでのID管理は紙のメモ帳が最強って気がする。
脆弱性? (スコア:0)
ミルパス、ちっこい手提げ金庫に紙のメモ帳をしまっとくレベルのアクセス制限はできてるわけよね。実売6000円台の製品なら合格ラインじゃないかなあ。
Re: (スコア:0)
大事なパスワードは普段は見えない浮き出し入れ墨が最強ですね。
Re: (スコア:0)
おでこに浮き出し刺青で「N♂MAD」と彫ってあるあなたはガリー・フォイルですね?
#パスワードで「♂」を入力するのは大変そう
テプラの脆弱性 (スコア:0)
攻撃を受けると印字結果が改竄されて、貼ってあるテプラを頼りにケーブルを挿したらループになるとかそういうやつかと期待した。
Re: (スコア:0)
「すぐにけせ すぐにけせ すぐにけせ」
とか
「BABEL BABEL BABEL BABEL 」
とかが電源を切るかテープが終わるまで印刷され続ける現象が
「ミルパス」はそういう製品でしょ (スコア:0)
「ミルパス」は最初からオフラインで保存しておく代わりに物理アクセスには脆弱って製品でしょ。
組み込みで暗号化機能とか下手すると自前で暗号化を実装しなきゃいけないし、なんかやらかす気しかしない。
パスフレーズで雑に「暗号化」くらい出来るだろうけど攻撃への耐性は怪しいし、パスフレーズ変更時にデータ喪失とかしそう。
パスワード管理機器を売っておいて「暗号化してなかったけどサポート切れなんでよろしく♡」ってのは酷いとは思うが、実際問題製品のコンセプトと見た目からその辺甘いのは見えてるし。
セキュリティ周りのノウハウ持ってるわけでもないニッチ系事務アイテムの会社だし技術的に仕方ないな。
ならこんなもん売るなって感じだが、どうでも良いパスワードの紙メモ代替なら需要もなくはなかろう。
高価な分中古で売られがちって点では紙メモより酷いが。
Re: (スコア:0)
そういう製品じゃないよ。
だから、マスターパスワードで物理アクセスからも保護されてなきゃいけなかった。
Re: (スコア:0)
これは元コメの方が正しいよ。こいつは分解検知用センサーが仕込まれてるようなちゃんとしたHSMじゃない。
南京錠がかかる専用メモ帳程度のセキュリティレベルだから、こんなもん。
Re: (スコア:0)
別に分解検知センサー付けろとかHSMであれとは言わないけど、マスターパスワードでロック解除する製品でどんなアホな実装したらパスワードを平文保存しちゃうのか理解出来ない。
普通そうはならんやろ……。
テプラにネットワーク経由でアクセス? (スコア:0)
テプラって筐体のボタンをポチポチ押して印刷したい文字列作って「印刷!」ってやるもんだと思ってたら、
今はそんなプリンタサーバーみたいな機能があんのか。
まあ、PCやスマホで文字列作った方が楽だし、そりゃ進化するわな。
Re: (スコア:0)
かなり昔からPCとUSB接続して専用アプリで編集できるようになってたが・・・
本体をポチポチしてる方が少数派だと思う。
Re: (スコア:0)
うちの職場は少数派だったのか…
Re: (スコア:0)
1,2枚程度を印字するときはポチポチやるほうが手っ取り早いんですよ。
あと、小さい文字を印字しようとするとアプリより組み込みのほうが文字がきれいとか・・・。