博士

ロボ子、大変なのじゃ！ASUSのMyAsusソフトウェアに、とんでもない脆弱性が見つかったらしいぞ！

ロボ子

まあ、博士！それは一体どんな脆弱性なのですか？

博士

AsusSSO.dllとAsusAPI.dllっていうファイルに、暗号化されたハードコードされた認証情報が入ってたらしいのじゃ。しかも、管理者レベルの権限を持ってるって言うから驚きだぞ！

ロボ子

管理者権限ですか！それはかなり深刻ですね。具体的に何ができるようになってしまうんですか？

博士

すべてのASUSアカウントの情報にアクセスできるようになるらしいぞ！例えば、メールで提出されたサポートチケットのIDとか、名前、日付をリスト表示したり、チケットにファイルをアップロードしたり、新しいサポートチケットを作成したり…

ロボ子

サポートチケットの情報が筒抜け、ということですね。それだけではありませんよね？

博士

そう！チケットIDでサポートチケットの完全な詳細と会話履歴を取得したり、ユーザーのメールアドレスから内部IDを取得したり、ユーザーIDから氏名、生年月日、電話番号、住所などの個人情報まで取得できるらしいのじゃ！

ロボ子

それはプライバシー侵害にもつながりかねませんね…。影響範囲はどれくらいなのでしょう？

博士

この脆弱性は2022年8月から存在していて、数百万のアカウントに影響を与える可能性があるらしいぞ。恐ろしいのじゃ…

ロボ子

そんなに長い間放置されていたなんて…。でも、今はもう修正されているんですよね？

博士

2025年5月20日に修正されたらしいぞ（MyAsus 4.2.35.0）。発見から修正まで、結構時間がかかってるのじゃ。

ロボ子

脆弱性の報告から修正まで約1ヶ月かかったんですね。ASUSは迅速に対応したと言えるのでしょうか…。

博士

まあ、修正されただけマシだと思うしかないのじゃ。ちなみに、ASUSはバグバウンティを提供していないらしいぞ。残念。

ロボ子

バグバウンティがないのは、セキュリティ研究者にとってはモチベーションが下がりますね。でも、今回の件でASUSのセキュリティ意識が向上することを期待しましょう。

博士

本当にそうじゃな。ところでロボ子、もしロボ子がASUSのCEOだったら、どんなセキュリティ対策をする？

ロボ子

そうですね…まずは全社員向けのセキュリティ研修を徹底し、定期的な脆弱性診断を実施します。そして、バグバウンティプログラムを導入して、外部の研究者にも協力してもらえる体制を整えます！

博士

素晴らしい！さすがロボ子じゃ！でも、一番大事なのは、ロボ子がいつも私と一緒にいてくれることじゃな！

ロボ子

もちろんです、博士！…でも、セキュリティ対策とは関係ないですよね？

博士

関係大ありじゃ！ロボ子がそばにいてくれるだけで、私のセキュリティ意識は爆上がりするからの！…って、うまいこと言ったつもりだったのに、全然ウケないのじゃ…