  |
最近はてブでhotentryに、とあるWebサービスの脆弱性を発見したというブログエントリが上がってましたけど、提供元に通報することなく脆弱性の詳細を公表していることについて、誰も疑問に思わないんでしょうか?
エントリを見る限り
フィッシング詐欺などへの利用は十分に考えられる
と書かれており、筆者の方はこれが脆弱性であり危険であると認識されているようです。また、内容からして、Webサービス提供元が修正することが可能なものです。このような場合、「悪用されて被害が拡大するのを防ぐために、公開より先に提供元(あるいはIPAとか)に連絡し、提供元に修正の機会を与える」のが今日 "最善" とされている対応です(異論はあると思いますが)。
にも関わらず、エントリの末尾は
これがまたホットエントリー入りしたらきっと他の誰かが書いてくれる気がしますので(^ー^
と〆られており、エントリを公開することで被害が拡大する可能性についてはまったく考慮されていないようです。
エントリの途中に
(被害を受ける側)は自業自得という気もしますが
などと書かれているので、筆者の方は報告不要であると考えているのかもしれません。しかし、記事の内容を読む限り、被害者はまったくの第三者であり、使ってもいないサービスの仕様に合わせて対策しないと「自業自得」というのはあまりにひどい。
他に「この状態がすでに長く続いているんだし、いまさら公開しても実害はないよな」とか「気づく人はとっくに気づいてるよ」という考え方もありうると思いますが、「だから公開してもいい」というのはちょっと違いますよね。
……と、ここまで、筆者の方を責めるような言い方で書いてきましたが(筆者の方、ごめんなさい)、そもそも「脆弱性の報告」とか「IPA」とか知らない人が大多数でしょうし、気づいてびっくりしたネタをブログに書きたくなる気持ちもわかります。俺がとどめを刺されたのは、はてブしている人が誰一人「いきなり公開しない方がいいよ」とか「報告はしましたか」とか書いていなかったことです(俺がはてブを確認した時点での話。いまこれを書きながら確認したら、id:AmaiSaetaさんがアドバイスされてますね)。知らない人がいるのはしょうがないとして、誰も教えてあげないの?
こえぇ。気をつけとこう。
どうやって気をつけるんですか。同じようなことは今後他のサービスでも別の形で起き得ますよね。使っていないものも含めて世界中のメジャーなサービス全部について仕様を確認するとか?
ただし、(サービス名)を使用している場合に限る
違いますよね。本文ちゃんと読みましたか?
……あぁ。俺が神経質すぎるのでしょうか? 頭に血が上っているから、話を大きく考えすぎているのでしょうか? 本文をちゃんと読んでないのは俺の方で、落ち着いて読んだら「なぁんだ」で終われるのでしょうか?
という感じでなんだかもうよくわからなくなってしまったため、いきなり当該エントリのコメント欄等には書かずに、まずはこっちに書いてみました。ご意見を頂けると助かります。
13
