水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 脆弱性届出のモチベーション

脆弱性届出のモチベーション

2005年4月1日(金曜日)

脆弱性届出のモチベーション

Firefoxの脆弱性報告に賞金授与 (www.itmedia.co.jp)」というお話。

Mozilla Foundationは、Firefoxの脆弱性を報告したドイツのミハエル・クラクス氏に総額2500ドルの賞金を贈った。

以上、Firefoxの脆弱性報告に賞金授与 より

5件の届出で 2500ドルだそうです。うーん、うらやましいですね。IPA に届け出たときもそんなにお金がもらえたら、それで生活できるかもしれません。:-)

言うまでもなく IPA の届出制度は完全にボランティアで報酬ゼロです。脆弱性を発見した人は

のうちどれかを選択することになるわけですが、現状では「届け出る」という選択肢にはメリットが何もありません。そのくせ法的リスクはちゃんとありますので (ガイドラインにも不正アクセスから免責されるわけではないと明記されている)、法的リスクを回避できているかどうかを検討してから届け出る必要がありますが、この検討の結果が正しいという保証は何もありません。むしろ多くの技術者にとっては検討の結果が裏切られているわけですから、誰かに「これは届け出て大丈夫だろうか?」と訊かれたとき、責任を持って大丈夫だと断言できる人はいないでしょう。素人にはとうていお勧めできない諸刃の剣です。

それに対して「悪用する」という選択肢はどうかというと、これが困ったことに事実上ノーリスクに近いのですよね。たとえば office さんが「黙って名簿業者に売る」という選択をしていたらどうなっていたかと考えてみると、たぶん誰も気づかなかったのではないかと思うのです。もっと言うと、実はその手の悪用は既にあちこちで行われていて、しかしながら誰も気づいていないだけだという可能性も否定できないわけですが……。

もちろん、だからといって悪用するという選択をお勧めすることはできません。結局「見なかったことにする」が一番お手軽でお勧め、ということになってしまうのです。

まあお金をくれというのは無理だと思いますが、「届け出る」という選択にリスクしかないという状況は何とかしたいですね。

関連する話題: セキュリティ / 思ったこと / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト