水無月ばけらのえび日記

スピンドクターと脆弱性関連情報

公開: 2009年11月10日22時5分頃

読み終わったので。

• スピンドクター “モミ消しのプロ”が駆使する「情報操作」の技術 (www.amazon.co.jp)

スピン = 情報操作のお話。さまざまな操作の例が紹介されているのですが、興味深いと思ったのは、先に情報を出してニュースとしての価値を低下させてしまうという手法。「しんぶん赤旗」にスクープさせると、他紙が後追い取材をしなくなるとか……。民主党偽メール事件の話も非常に興味深かったですね。

※個人的に期待していたネット情報操作の話は、最後にちょこっと出ていただけで、ほぼ既知の話でした。そこは少し残念でしたが、他の部分は読み応えがあったかと。

しかし考えてみれば、脆弱性関連の報道やリリースなんてのは「スピン」の典型例でしょうね。

私が発見・報告して報道された事例としては、最近ではサンシャイン牧場、古くはニフティのXSS、JVNアンケート、ACCSのXSS脆弱性などがあります。あとは、ソフトウェアの脆弱性もそれなりに。が、思い起こすと、JVNアンケートの件はともかく、他は……。報道された内容に違和感を覚えなかった例の方が少ないですね。

そもそも、脆弱性の話は全く表に出ないケースも多いです。基本的には以下のようなメソッドが標準になっていると思います。

• できるかぎりスルーし、事実を表に出さない
• スルーしきれなかった場合は控えめにアナウンスし、実害がないor少ないことを強調する。外部からの指摘だったことは極力隠し、運営者が自ら発見したかのような印象を与えるように努める
• 被害の発生を認めざるを得ない場合は正直に報告するが、自分も被害者であるということを強調する。通常の手段では防げない高度な攻撃であったという印象を与え、被害を受けても仕方なかったという印象を与えるように努める

つくづくスピンだと思いますね。ウェブに限らず、ソフトウェアの脆弱性についてもこういう傾向はあると思います。マイクロソフトなんかはちゃんとアナウンスしているわけで、できないことはないと思うのですけどね。

※サンシャイン牧場の話などを見ていると、どうも、「脆弱性を通知された運営者は即座に対応し、速やかに情報を公開するものだ」と思っている方が結構いらっしゃるようで。まあ、そういう運営者も全くいないわけではないのですけれど、そういう期待は裏切られる確率の方が高いです。

• 「スピンドクターと脆弱性関連情報」にコメントを書く

関連する話題: 本 / 買い物 / セキュリティ / スピンドクター