水無月ばけらのえび日記

ソフトウエア等脆弱性関連情報取扱基準によると

＞本基準は、以下に掲げるものの脆弱性であって、その脆弱性に起因する

＞被害が不特定多数の者に影響を及ぼし得るものに適用する。

だそうなので、趣旨と違うのでは？

そのユーザーだけが被害を受けるものなら。

>だそうなので、趣旨と違うのでは？

>そのユーザーだけが被害を受けるものなら。

　実を言うと問題は二つありまして、

・既知の脆弱性によって脆弱になっているサイトをどうするか

・既知の脆弱性によって未知の脅威が発生している場合にどうするか

　前者に関しては基本的に情報セキュリティ早期警戒パートナーシップの枠外です(ただしこの場合も、IPA の方が気を利かせて任意で情報を通知してくれることがあります。ありがたいことです)。

　どちらかというと問題なのは後者です。この件は現在のところ、JVN でも東芝のサイトでも「オープンプロキシとして踏み台にされる」という脅威だけが問題にされています。管理画面から情報が漏洩する危険性については一切触れられていないので、そこをどうするべきかというところがなんとも。

「脆弱性はバリバリ現役」って言うと、対策をしてもまだ現役のように取れました。これは使用者本人がセキュリティ対策をするまではいつまでも脆弱性は残るというだけではないでしょうか？この脆弱性問題に関わらず。

>「脆弱性はバリバリ現役」って言うと、対策をしてもまだ現役のように取れました。

　なるほど、そんな受け止め方もあるのですね。中身を読んでお分かりいただけていると思いますが、ここで「現役」といっているのは、問題が終息していないということです。

　多くの場合、脆弱性が公表されて時間が経つと対策が進み、脆弱性は廃れて過去のものになります (というか、そうなってもらわないと困るわけですが)。この問題は何年も前に公表され、当時かなり話題になっていたと思いますが、にもかかわらず、いまだに脆弱なままネットにつながれた機器が現役で活動しています。

　ちょっと調べてみると、私が見つけたものはレアケースではなくて、実は大量に稼動しているようですね。

国内open proxyの現状

http://spam.h1r.org/jpproxy/index.html

　シェア3割だそうで、本当に「現役」という感じですね。

>これは使用者本人がセキュリティ対策をするまではいつまでも脆弱性は残るというだけではないでしょうか？この脆弱性問題に関わらず。

　実は面白いことに、本件にはこれが当てはまらない可能性があります。使用者本人がセキュリティ対策をしなくても……。

　まじめに返答すると、先にも書いたように、脆弱性によっては対策が進み、問題がほぼ終息したと言って良い状態になるものがあります。「本人が対策しないのが悪い」と考えるより、何か対策が進まない理由があるのではないかと考えた方が良いと思います。