脆弱性届出のモチベーション
2005年4月1日(金曜日)
脆弱性届出のモチベーション
「Firefoxの脆弱性報告に賞金授与 (www.itmedia.co.jp)」というお話。
Mozilla Foundationは、Firefoxの脆弱性を報告したドイツのミハエル・クラクス氏に総額2500ドルの賞金を贈った。
以上、Firefoxの脆弱性報告に賞金授与 より
5件の届出で 2500ドルだそうです。うーん、うらやましいですね。IPA に届け出たときもそんなにお金がもらえたら、それで生活できるかもしれません。:-)
言うまでもなく IPA の届出制度は完全にボランティアで報酬ゼロです。脆弱性を発見した人は
- 届け出る
- 見なかったことにする
- 悪用する
のうちどれかを選択することになるわけですが、現状では「届け出る」という選択肢にはメリットが何もありません。そのくせ法的リスクはちゃんとありますので (ガイドラインにも不正アクセスから免責されるわけではないと明記されている)、法的リスクを回避できているかどうかを検討してから届け出る必要がありますが、この検討の結果が正しいという保証は何もありません。むしろ多くの技術者にとっては検討の結果が裏切られているわけですから、誰かに「これは届け出て大丈夫だろうか?」と訊かれたとき、責任を持って大丈夫だと断言できる人はいないでしょう。素人にはとうていお勧めできない諸刃の剣です。
それに対して「悪用する」という選択肢はどうかというと、これが困ったことに事実上ノーリスクに近いのですよね。たとえば office さんが「黙って名簿業者に売る」という選択をしていたらどうなっていたかと考えてみると、たぶん誰も気づかなかったのではないかと思うのです。もっと言うと、実はその手の悪用は既にあちこちで行われていて、しかしながら誰も気づいていないだけだという可能性も否定できないわけですが……。
もちろん、だからといって悪用するという選択をお勧めすることはできません。結局「見なかったことにする」が一番お手軽でお勧め、ということになってしまうのです。
まあお金をくれというのは無理だと思いますが、「届け出る」という選択にリスクしかないという状況は何とかしたいですね。
- 「脆弱性届出のモチベーション」にコメントを書く
関連する話題: セキュリティ / 思ったこと / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): 仁義なき……は www2 にも DoS
- 次(新しい): どこまでガードすれば良いかの指標
