1 : 2025/12/09(火) 17:38:11.45 ID:cMMhEIGC
中国に拠点を置くSipeedの製品「NanoKVM」に、SSH経由で起動可能な未記載のマイクが搭載されていることが分かりました。
NanoKVMは、中国企業Sipeedが開発したKVMスイッチです。他社製品と比較して安価で、仮想キーボード、マウス、モニターを使ってコンピューターやサーバーをリモート操作できるこの端末はオンラインで急速に注目を集めましたが、スロベニアのセキュリティ研究者が調査した結果、深刻な問題がいくつか存在することが明らかになっています。
研究者によれば、このデバイスの初期ロットにはデフォルトのパスワードが設定されており、このパスワードを使用することでSSHへのアクセスが可能だったとのこと。この脆弱(ぜいじゃく)性は研究者がSipeedに報告した後に修正されました。この問題はすぐに対応されましたが、NanoKVMには他にも問題が山積していたといいます。
例えばユーザーインターフェースの欠陥です。NanoKVMのユーザーインターフェースにはCSRF対策がなく、セッションを無効化する手段もないなど、問題は多かったとのこと。さらに深刻なのは、ブラウザ経由のログイン時におけるパスワード保護に使用される暗号化キーがハードコードされており、全デバイスで同一である点でした。これは重大なセキュリティ上の見落としであり、攻撃者がパスワードを容易に復号できるようになります。
もう一つの懸念は、デバイスが中国のDNSサーバーに依存しており、中国のSipeedサーバーと通信し、更新プログラムだけでなくクローズドソースコンポーネントもダウンロードしているという点でした。当該コンポーネントを検証する鍵はデバイス上に平文で保存されていました。このほか、ソフトウェアアップデートの完全性検証が行われていない点、一部のネットワークで動作しない特殊なバージョンのWireGuard VPNアプリケーションが組み込まれている点、systemdやaptを欠いた大幅に機能制限されたLinuxが動作している点なども懸念されました。
マイクを物理的に取り外すことは可能でしたが、デバイスの分解は難しく、マイクが非常に小さいため、適切にはんだ付けを外すには顕微鏡か拡大鏡が必要だったそうです。
中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も
中国に拠点を置くSipeedの製品「NanoKVM」に、SSH経由で起動可能な未記載のマイクが搭載されていることが分かりました。
2 : 2025/12/09(火) 17:44:06.91 ID:G4Dr6pnG
こういう製品出したら市場から排除しろよ
4 : 2025/12/09(火) 18:04:37.48 ID:DPJMSnUm
>>2
排除しても名前変えて復活するから
3 : 2025/12/09(火) 17:47:19.64 ID:J86pGELH
正真正銘の余計なもので草
5 : 2025/12/09(火) 18:08:10.56 ID:loCL3G5U
クローズドアップデートはデフォ
bigmeもそうだから
6 : 2025/12/09(火) 18:09:06.92 ID:goH3LFNb
マイクに向かって天安門連呼してたらどうなるの?
15 : 2025/12/09(火) 21:08:51.39 ID:JnuURT3R
>>6
ジャップはバカだなあって思われるだけ
7 : 2025/12/09(火) 18:19:12.04 ID:xGOnrYhU
中国の新興メーカーって開発スピード早いけど、細かいとこいい加減な企業も多いからね
8 : 2025/12/09(火) 18:23:30.80 ID:pni2mNx4
えー、つまり中国製のKVMに隠しマイクが仕込まれているとは、そもそも安全保障の観点から見ても容認できませんね。日本の技術基盤を守るためにも、わーくには自前の安全なハードウェアを徹底的に推進すべきであります。
9 : 2025/12/09(火) 18:39:43.41 ID:dqbAgC46
これだいぶ前に指摘されて修正されてるのもあるだろ
10 : 2025/12/09(火) 18:59:20.42 ID:XdtT2ljc
普通に安かろう悪かろうだろこれ
11 : 2025/12/09(火) 19:39:51.49 ID:l3NuOzcc
明確にダメだろこれ‥
あわよくばサーバールームとかに届いて安置されねえかなってことでしょ
12 : 2025/12/09(火) 20:11:24.79 ID:ymzBwqMB
オワリカも中華も、もう当たり前にバックドア搭載してくるね
巨大太陽フレアで文明リセットしたら発狂して憤死するのかなこいつら
13 : 2025/12/09(火) 20:51:25.14 ID:97pTT00j
ほら中国じゃん
14 : 2025/12/09(火) 20:57:40.84 ID:J86pGELH
いうてロシアも北朝鮮もアメリカもやってるところはやってるでしょ
こんな絶対見つかる方法じゃないだけで
16 : 2025/12/09(火) 21:09:27.07 ID:SXmwEEJE
音声認識で操作できるんだろ
17 : 2025/12/09(火) 21:11:01.17 ID:IpucdwI4
爆弾仕掛けてないだけ良心的だね🥺
18 : 2025/12/09(火) 21:32:42.66 ID:RO7dBI3p
PiKVMにしろ
19 : 2025/12/09(火) 22:12:27.11 ID:1DIUriLQ
自分で安いマイク買うと音を拾ってくれなかったりゴミだったりするからちゃんと機能するのかいつも疑問なんだが
良いマイク付けたら値段も高くなっちゃうだろうし🥺
23 : 2025/12/10(水) 00:10:36.54 ID:WolJtgcy
マイクに向かってアハンオケツイク再生しつづけよう
24 : 2025/12/10(水) 00:20:54.57 ID:XWcJt9nw
ソースの続き見ろよ
基盤流用したからマイクが残ったままだったみたいな案件だろこれ
26 : 2025/12/10(水) 00:47:37.42 ID:FlUy2v24
自宅サーバー置いてるとこの音聞いてなにするの
27 : 2025/12/10(水) 12:35:05.29 ID:EwdjDBPz
基板流用はあるあるだが
李下に冠を正さずで、最低限取り外したりSSH接続機能はオミットしておくべきではないだろうか
29 : 2025/12/10(水) 16:55:50.76 ID:sxUIVJKp
>>27-28
ほんこれ
28 : 2025/12/10(水) 12:59:58.91 ID:0fH7h95c
ユーザー側からしたら言い訳と区別がつかないからな
メンゴメンゴで済むような内容でもないし金出したユーザーに対する裏切り行為
コメント