スピンドクターと脆弱性関連情報
2009年11月8日(日曜日)
スピンドクターと脆弱性関連情報
公開: 2009年11月10日22時5分頃
読み終わったので。
- スピンドクター “モミ消しのプロ”が駆使する「情報操作」の技術 (www.amazon.co.jp)
スピン = 情報操作のお話。さまざまな操作の例が紹介されているのですが、興味深いと思ったのは、先に情報を出してニュースとしての価値を低下させてしまうという手法。「しんぶん赤旗」にスクープさせると、他紙が後追い取材をしなくなるとか……。民主党偽メール事件の話も非常に興味深かったですね。
※個人的に期待していたネット情報操作の話は、最後にちょこっと出ていただけで、ほぼ既知の話でした。そこは少し残念でしたが、他の部分は読み応えがあったかと。
しかし考えてみれば、脆弱性関連の報道やリリースなんてのは「スピン」の典型例でしょうね。
私が発見・報告して報道された事例としては、最近ではサンシャイン牧場、古くはニフティのXSS、JVNアンケート、ACCSのXSS脆弱性などがあります。あとは、ソフトウェアの脆弱性もそれなりに。が、思い起こすと、JVNアンケートの件はともかく、他は……。報道された内容に違和感を覚えなかった例の方が少ないですね。
そもそも、脆弱性の話は全く表に出ないケースも多いです。基本的には以下のようなメソッドが標準になっていると思います。
- できるかぎりスルーし、事実を表に出さない
- スルーしきれなかった場合は控えめにアナウンスし、実害がないor少ないことを強調する。外部からの指摘だったことは極力隠し、運営者が自ら発見したかのような印象を与えるように努める
- 被害の発生を認めざるを得ない場合は正直に報告するが、自分も被害者であるということを強調する。通常の手段では防げない高度な攻撃であったという印象を与え、被害を受けても仕方なかったという印象を与えるように努める
つくづくスピンだと思いますね。ウェブに限らず、ソフトウェアの脆弱性についてもこういう傾向はあると思います。マイクロソフトなんかはちゃんとアナウンスしているわけで、できないことはないと思うのですけどね。
※サンシャイン牧場の話などを見ていると、どうも、「脆弱性を通知された運営者は即座に対応し、速やかに情報を公開するものだ」と思っている方が結構いらっしゃるようで。まあ、そういう運営者も全くいないわけではないのですけれど、そういう期待は裏切られる確率の方が高いです。
- 「スピンドクターと脆弱性関連情報」にコメントを書く
- 前(古い): ゼロのプレスリリース
- 次(新しい): MS09-065(KB969947)でDELL OPTIPLEX 740が死亡
![Dreamweaver プロフェッショナル・スタイル [CS3対応]](http://ecx.images-amazon.com/images/I/31YE7dzwWXL._SL75_.jpg)
