脆弱性に関わる人の立場と目的
2009年12月14日(月曜日)
脆弱性に関わる人の立場と目的
公開: 2009年12月19日2時15分頃
「Security Wars: エピソード 1 -ハッカーと暗黒面- (technet.microsoft.com)」。弁護士である高橋郁夫さんのコラム。WASFのときに話されていた事とも内容は重なりますね。
暗黒のハッカーは、実際に侵入したとしても、「ファイル等に対して実際に変更を加えなければ、困ることはない。むしろ、その脆弱性を無償で発見して、教えてやっているのだ」とうそぶくであろう。
(~中略~)
しかしながら、社会は、このような言い分を認めるものではない。
(~中略~)
しかしながら、技術者が、「私は、ソフトウェアの安全性の調査をしている○○といいますが、あなたの会社のこのソフトウェアについては、このような脆弱性があります」と開発者に伝えたしても、真剣にとりあげてくれるとは限らない。話として聞いてもらえたとしても、脆弱性としては、脅威の程度はたいしたことがないので、パッチは開発しませんとか、次のバージョンアップで対応しますといわれるのにすぎない場合も多い。場合によっては、脆弱性を発見したとかいってまるで脅迫でもするのですかなどとクレーマー扱いされないとも限らない。また、脆弱性情報の発見が、社会的に極めて重要な意味をもつものだとしても、その発見にいたるまでの労力に対して適切な評価、とくに経済的な評価がなされているのかという問題もあるであろう。
このような状況のもとで、技術者は、脆弱性情報を悪用して、実際に侵入して、みずからの技量を証明しようとする自己顕示欲の罠、脆弱性情報を第三者に売却等して経済的な利益を得ようとする経済的貪欲の罠などに陥る危険性に直面することになるのである。
脆弱性に関わる人の目的は実は様々なのですよね。ここで言う「目的」とは、誰を守るのか、誰の利益を優先するのかという立場の違いです。
- サービス利用者の立場 : 現在サービスを利用している利用者が被害を受けないようにすべき。
- セキュリティ業界人の立場 (?) : Webサイト全般の利用者が被害を受けないようにすべき。
- サービス提供者の立場 : サービス提供会社の信頼や売上げを低下させないようにすべき。
そして中には、以下のようなことを考える人もいるでしょう。
- 金銭的な利益を得たい。
- 自らの身の安全を確保したい。
- サービス提供会社が脆弱性の存在を隠したりすることを防ぎたい。
- 野次馬を喜ばせたい。
これらのうちどれを目的とするのか、しないのか、複数あるうちのどれを優先するのか……は人それぞれで、その目的によって最適な手段は異なります。たとえば、野次馬を喜ばせることが最優先の目的ならば、ゼロデイ公開という手段がマッチすることもあるでしょう。
もっとも、必ずしも目的にマッチした手段を選択できるとは限らないわけですが……。
- 「脆弱性に関わる人の立場と目的」にコメントを書く
関連する話題: セキュリティ
- 前(古い): CSRF対策は基本?
- 次(新しい): New スーパーマリオブラザーズ Wii マルチプレイ
