■楽天はニセ脆弱性を放置しないで欲しい

やや古い話だがid:BEWの「全楽天ユーザーが今すぐに登録情報の実名をハンドルネームにすべきたった１つの理由」という日記で楽天に個人情報漏洩の欠陥があるにも関わらず楽天が対応しないという話があった。

• http://d.hatena.ne.jp/BEW/20100121/1264078657

その数日前に書いた「楽天である条件の下だと別のユーザーでログインできてしまう件＋α」という記事が予想に反してあまり話題にならなかったので煽情的なタイトルにしたたそうだ。こちらはBEW氏が意図した通り「また楽天か」的なムードがはてブやTwitterで沸き上がった。

• http://b.hatena.ne.jp/entry/d.hatena.ne.jp/BEW/20100121/1264078657
• http://togetter.com/li/3755

しかし楽天からBEW氏の期待していたような発表は一切なく、逆にプロキシ犯人説が上がり初めた。しかしBEW氏はプロキシ犯人説を理解できないのか中途半端な検証を繰り返し、IPAに報告してみろというアドバイスもなぜか無視。そのうち「（現状を）まとめるのに労力がいるのでお知らせするのが遅くなっています。」「何を基準に判断するか、というのが難しい案件です。」「もう僕の環境からは再現しません」「楽天の方を信じるならそれでいいんじゃないでしょうか」と語尾を濁すような表現が多くなってきた。この時点で私はプロキシ犯人説を確信し「再現しないなら当時の再現方法を公開しては？」とコメントしてみたが、そのコメントが公開されることはなかった。恐らく他にも都合の悪いコメントは無視されているのだろう。

BEW氏が巻き起こした楽天不信の波は大きい。はてブやTwitterで楽天IDを削除したと言っていた人々の大半はその結末を知らずに、これからも楽天と名のつくものを避け続けるのだろう。

今回の被害者は楽天だったが、この見事なFUDはどのサイトにでも使える。Yahooだろうと、はてなだろうと、あなたのサイトだろうと。楽天は静観する事を選んだようだが、追随するバカが現れた場合全てのサイト運営者が第二のニセ脆弱性被害者となりうる。BEW氏に自ら訂正する意志がないのなら楽天はこの悪例を放置することなく、きちんと潰して欲しい。

BEW氏の犯したミスは4つ。

• 十分な知識を持たずに楽天側の欠陥と断定したこと
• 中立的に判断してくれるIPAに届け出よというアドバイスを無視したこと
• 祭を引き起こそうとしたこと
• 自分のケツを拭かなかったこと

セキュリティは時に非常に繊細な問題となる。BEW氏のような素人が、ましてや祭られる事を狙って手を出すべきでは無かった。

後に続く者が出ないことを祈りたい。英雄気取りで事を荒立てた後に残るのは、恥と責任だけなのだから。

Permalink | 記事への反応(1) | 17:34

ツイートシェア