パスワードを忘れた? アカウント作成
11822859 story
Java

カートリッジ式コーヒーメーカー「Keurig 2.0」に脆弱性、正規カートリッジへの成り済ましが可能 59

ストーリー by headless
ダバダー 部門より
Keurigのカートリッジ式コーヒーメーカー「Keurig 2.0」には互換カートリッジの使用をブロックする機能が搭載されているが、この機能を迂回して正規カートリッジ(K-Cups)に成り済ますことが可能な脆弱性が発見され、脆弱性情報が公開された(Caffeine Securityの脆弱性情報Hackadayの記事本家/.)。

Keurig 2.0に互換カートリッジをセットするとエラーメッセージが表示され、抽出を実行することができない。しかし、カートリッジが未使用かどうかを識別する機能が実装されていないため、使用済みの正規カートリッジから注意深く取り外したアルミ箔製のフタ部分を再利用することで、互換カートリッジを正規カートリッジとして認識させることが可能になるという。攻撃者は互換カートリッジのフタ部分に正規カートリッジのフタを重ねてセットするだけで抽出が可能となるほか、切り抜いたフタの一部をKeurig 2.0側に貼り付けることで互換カートリッジを常に正規カートリッジとして認識させることも可能とのこと。これはゼロデイ脆弱性であり、既に実証動画も公開されているが、回避策や修正パッチなどは提供されていない。なお、Keurig 2.0を未使用時に鍵のかかる棚に格納するなどの対策により、脆弱性の影響を緩和できるとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • また、 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2014年12月13日 13時04分 (#2727570)

    その影響か、/.j では、今日が4月1日だと誤って認識してしまう被害が相次いでいる。
    そのような状況に詳しいAC氏は、手を合わせ鐘を衝くことで、
    1日ずれていた認識が修正されていくのではないかと話している。
    なお、修正は仕事のない年末に行うのが良いとのことだ。

    • by Anonymous Coward

      1日ずれくらいなら、、いいんじゃない?

  • 廉価版のカートリッジって、中にインスタントコーヒーが入っているだけだったりするけど、これでいろんな味が楽しめますね。
    --
    -- 哀れな日本人専用(sorry Japanese only) --
  • by siva-jp (18925) on 2014年12月13日 13時15分 (#2727575)
    拡張が実装されてて、しかも脆弱性とか…(^^;
    20世紀は遠くになりにけり。
  • by Anonymous Coward on 2014年12月13日 14時49分 (#2727610)

    の特許を回避しようとしたせいで、脆弱性を潰しきれなかったんだな・・・

  • by Anonymous Coward on 2014年12月13日 19時12分 (#2727748)

    フリーズドライ式ならとりあえず何でもOKのバリスタ [nestle.jp]持ちの我が家に隙はないのであった。専らゴールドブレンドかマキシムの瓶入りを使用中。

    カートリッジ式は高くて買えない貧乏人なのでAC

    • by Anonymous Coward

      それお湯を入れるのと味は違うのですか?便利だろうことは分かるのですが。

      • by sakamoto (8009) on 2014年12月13日 21時33分 (#2727810) 日記
        なぜか味も違うし、スチームミルクも作ってくれたりします。
        --
        -- 哀れな日本人専用(sorry Japanese only) --
        親コメント
      • by Anonymous Coward

        どういう仕組みなのか知らないが、細かい泡がたくさん含まれるんだよ。

        普通に淹れたインスタントコーヒーより、口当たりが柔らかいような「気がする」。
        香りが強く感じられる「気がする」。
        結論として、「普通に淹れたインスタントコーヒーより美味い」。

    • by Anonymous Coward

      そう。バリスタに「エクセラ」使えないんですよねぇ。

      自宅作業のSOHOの場合、ネスカフェアンバサターを請求できないプロテクトがかかっているのですが、実は電話認証でなんとかなると教えてくれたのはバリスタイベントでの係員(バリスタ操作のバイトのネーちゃんではない)。

      でも、ケトル買ったからいいやと思ってる。

  • by Anonymous Coward on 2014年12月13日 20時19分 (#2727774)

    コーヒーなんて嗜好品なのだから味で勝負すれば互換品なんて本来は無視できるはず
    互換品が使えない機能なんて組み込んでる暇があるならカードリッジの品質を上げろよ
    客にお前のところのカードリッジは価格相応の価値はないって判断されてるんだから

    プリンターと同じカードリッジ商法は終始モノを不適正な価格で売るから大嫌い

    • by Anonymous Coward

      多分「適切な価格」の定義が0円に近いほど適切な価格と思ってる方が多いからでは
      あなたもその一人じゃないですか?

    • by Anonymous Coward

      嗜好品だからこそあれこれ試してみたいのではないでしょうか?
      価格については、ビジネスモデル的に、内容の豆の価格よりも高価な値付けがされているのは明らかです。
      どれだけ品質を上げても品質以上に高い値段になり、逆に言えば常に価格未満の品質となります。
      本体を安く売って、ランニングコストで稼ぐ歪な価格体系が気に入らない人も少なくないでしょう。

    • by Anonymous Coward

      そもそも味の問題じゃないって理解できてますか?
      機械が受け付けないような粗悪品カートリッジ使っといて、粗悪品カートリッジメーカーに文句を言わず機械メーカーのせいにする人がいるのが問題なんでしょ
      プリンタ問題もしかり
      それこそ嗜好品だって言うのなら自分の不始末ぐらい自分で責任持ってもらいたいものです

      まぁコンニャクゼリーのときみたいにデカデカと禁止事項書いてあっても無視するユーザーがいること考えるとこのような対処方法はなんら問題のあることとは思えません

      >プリンターと同じカードリッジ商法は終始モノを不適正な価格で売るから大嫌い

      適正な価格っていくらなんですか?

      • by Anonymous Coward

        これぐらい [wordpress.com]かしら。

        • by Anonymous Coward

          つまり、会社は開発に費用をかけるなと。

          • by uxi (5376) on 2014年12月14日 19時05分 (#2728105)

            機械の側を適正価格で売れば良いんじゃないか?
            BJ-10v なんて5万円してたのに最上位機が1万5千円でインクが一式5千円とかする今の価格設定がおかしい。

            --
            uxi
            親コメント
            • by Anonymous Coward

              確かに本体価格の方が安いって問題ですね。

              • by uxi (5376) on 2014年12月15日 10時54分 (#2728285)

                そういうことじゃなくて、購買者は売る方の都合なんて知ったこっちゃないですよ。
                一般的な末端ユーザーの感覚だと、製品の価格≒製品の価値なんです。
                目で見て明らかにハイテクの塊であるプリンタと、パッと見ただの色付きの水にしか見えないインクを同じくらいの価格で売ってるってのは、プリンタにはその程度の価値しかないし、逆にインクはぼったくってますって誤ったメッセージを消費者に植え付けて回ってるんです。
                そういう購買者の心理を無視してる時点でいわゆるビジネス馬鹿と言うか、既に一般消費者の感覚とはかなり乖離した感覚を持った状態になってますし、例えば企業イメージ等で、本来売る法が誘導したいイメージの方向とは明らかに別の方向に消費者のイメージを誘導してしまっているんです。
                そこに気づかないのがまたビジネス馬鹿のビジネス馬鹿たる所以なんでしょう。

                売る方の都合とは全く別のところに、末端のユーザーが持ってる物として本来あるべき価値の平均的な値ってのがあるはずなんで、そこから大きく外れるのは、長期的に見て多分ビジネス的に不利益しか生み出さないと思うんですよ。
                まぁ、ただ同然で壊れても大して困らない価格で高性能なハードウェアが手に入って、消耗品は同じくただ同然で高品質な互換品が使えるとなってくると、短期的に見れば末端のユーザーにはメリットしかありませんけどね。

                --
                uxi
                親コメント
    • 「カードリッジ」が気になって仕方ない

      カートリッジをカードリッジと間違えて覚えて育ってきて今に至る?
      世の中そんなに「カードリッジ」って間違えたまま過ごせるほどカートリッジという言葉を目にすることがナイトは思えないんだけど

    • by Anonymous Coward

      嫌いなのは仕方ないが、商売ってなんでもそういうもんだぞ。
      ソフトとか消費者のかんがえた適正価格なんてのがあるかもしれんが、
      同じコストを掛けて100倍本数の違うソフトは、実態の適正価格に100倍の差が付く。
      その「適正価格」を消費者にそのまま突き出したら相手にされないか、もしくは市場の混乱を招くだろう。

      高価で壊れないプリンタを売り続けるだけでは営業が立ち行かないから、
      カートリッジ販売で利益を回収して、プリンタの低価格化と開発コストに充てる。
      メーカーに余裕が無くなれば消費者は選択肢を失うのだから、モノの値段がどういう訳でそう設定されているのかはよく考えた方がいい。

      • by Anonymous Coward

        フルカスタム製品を100台で発注しといて、途中で台数を50台とかにしたら
        総額が半分になるとか思ってる馬鹿がいるのとおんなじですね・・・。

        膨大な数を作るものを除けば、部材コストよりも開発費・テスト費用の方が
        問題なんですけどねぇ・・・。

  • by Anonymous Coward on 2014年12月13日 13時50分 (#2727589)

    次世代のマシンでは、カップを使うときにマークが傷つくようにすればいいのかな。
    例えばフタにバーコードがついていて、カメラで読み取ってメーカーの公開鍵で検証、その後に針で破るとか。
    これもリプレイアタックの対策が必要か。

  • by Anonymous Coward on 2014年12月13日 14時11分 (#2727598)

    我が家のおたっくすにも、感熱紙を利用可能になる脆弱性が…

  • by Anonymous Coward on 2014年12月13日 16時02分 (#2727640)

    メーカーにとっては脆弱性だろうが、ユーザにとってはどうだろうか?

    • by Anonymous Coward

      粗悪なカートリッジを使えるようにする事を冴えた行為と勘違いする深刻な情弱性の問題があります。

    • by Anonymous Coward

      犯罪ですね。DRM回避で。

    • by Anonymous Coward

      悩んだ時点で脆弱性があります

    • by Anonymous Coward

      どうでもいいのではないか。

    • by Anonymous Coward

      攻撃者が悪意を持って正規カートリッジになりすました毒物をユーザーに服用させるとか

  • by Anonymous Coward on 2014年12月13日 18時15分 (#2727707)

    キューリグって売ってるのは知っているのですが、日本ではマイナーですよね。
    ネスプレッソと比較されると思うのですが、なかなか自分で淹れられないエスプレッソコーヒーが手軽にできるというスペシャリティに比べると、ただのドリップコーヒーやお茶を手軽に入れられるというのはやはり弱いのでしょうか。
    しかも一杯が100円程度と決して安くないですし。ネスプレッソだと90円程度なので割高ですね。

    本国仕様のように12oz入れられるとかなら良いのでしょうけど、日本仕様は6ozまでになってそれ用のカップしか売ってないですしね。
    (12ozようのKカップを個人輸入して2回淹れるとかできるのか?)

    12オンスのドリップコーヒーを100円で淹れられるなら需要あると思うのですけど。

    • by Anonymous Coward on 2014年12月14日 20時38分 (#2728131)

      つい先日泊まったビジネスホテルの部屋にキューリグがあったので飲んでみました。
      一番安いベーシックローストでしたが、なかなかお手軽に飲めて味もそこそこ、香りは
      煎りたての挽きたてにはかなわないけどまあまあでした。
      機械の仕様だと思うけれど、熱湯ではなくていわゆるドリップの適正温度に近い温度
      のお湯が出ているようです。

      アマゾンで見ると、一杯税抜で70円前後でしょうかね。自分でちょっといい豆をペーパ
      ードリップすると同じくらいなので、「面倒くさがりのコーヒー好き」にはなかなかいいかと
      思います。機械の方も一万円以下で買えそうです。

      親コメント
    • by Anonymous Coward

      サークルKサンクス行けばありますよ。
      http://www.circleksunkus.jp/sp/product/coffee/index.html [circleksunkus.jp]

      ちなみにベーシックローストだと\1,088/12個で、90円弱(税込)
      http://www.keurig.jp/products/details114.html [keurig.jp]

      • by Anonymous Coward

        サークルKサイトがメンテナンス中で見れない(´・ω・`)

        コンビニコーヒーが出たばかりの頃、サークルKはK-CUP使ってませんでしたっけ?
        こんなの使って原価割れしないかしら?と思ったけど、こりゃ厳しそうだ。

        ※うちの近くにあったサークルKは近所にファミマ(地下鉄駅隣接)、ミニピアゴ、セブン(すべて100m圏内)ができたので赤字化し、元通り酒屋になりました。

    • by Anonymous Coward

      確かにマイナーですね。カップ買おうにも通販でしか手に入らないし。
      でも、私はアメリカのサイトから使い捨てのフィルターとケースを購入し、自分で好きな珈琲を入れて飲んでいます。
      しかしこんな対策をしているなんて知らなかった。今の機械を大事に使っていこうと思います。

  • by Anonymous Coward on 2014年12月14日 16時51分 (#2728062)

    売れるんじゃないかと
    特許回避が難しいのかな

  • by Anonymous Coward on 2014年12月14日 19時42分 (#2728117)

    これは判別に何を見ているのでしょう。
    円周上の何かパターンを見ているみたいですが
    電気抵抗か
    光学パターンか
    物理突起か
    コスト的には電気抵抗かなぁ。水滴で誤動作したりして。

    #任天堂クイックディスクのプロテクトを思い出しました。

  • by Anonymous Coward on 2014年12月14日 22時15分 (#2728156)

    ツマンネ

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...