OracleやHTCがセキュリティ絡みでかなり痛いことになっているようです
このところ、セキュリティがらみで失言や微妙に致命的なレベルの欠陥が相次いで報じられていて、いちいち右往左往するのもどうかと思いつつもフォローしております。
山本一郎です。最近腰が痛かったのですが少し良くなりました。
ところで、IT業界における大物企業の一つ、Oracleの最高セキュリティ責任者が何を思ったか突如セキュリティ業界に喧嘩を売り世界中から顰蹙を買うという事件が起きていたようです。
「脆弱性を探すためにコードを読むな」とOracleの最高セキュリティ責任者がブログを投稿後に速攻で削除(Gigazine 15/8/12)
Oracle(オラクル)のChief Security Officer(CSO:最高セキュリティ責任者)はブログで、「脆弱性を探すためにコードを読解することは利用規約に反しているのでやめるべき」と書き込んだ後、非難の嵐を受けて投稿を速攻で削除しています。Gigazineまあそりゃそうですよね。
この件、当然ながら一部のIT業界なネット民の関心を集めSNS周辺では色々と興味深い発言が見られたりもしました。
おいおいおいおいおい。あとは「やはりOracle」的な感想が少なくなかったのもなかなかに感慨深いものがありましたが、それだけ皆から愛されているということでしょうか(違)。
MySQL とか VirtualBox とか取り込んどいて、ソリャ無いぜ、Oracle(の最高セキュリティ責任者)
言いたい事は死ほど判る気がするけど、公に口にしちゃアカン事やろwあ☆WP(あだぴ)
しかし、さすがに今回はやってしまった感が拭えませんね。
デビッドソンCSOの考えに従えば、脆弱性があるソフトウェアを利用することでサイバー犯罪の被害を被りかねない状態を甘受しろ、ということになりかねないわけで、その内容が不当であることは明らかです。むしろ、ソフトウェア開発者が開発段階で回避できなかった脆弱性の存在を発見して通報してくれる第三者の存在は、ソフトウェア開発者としては本来的には協力者とも言える存在なわけで、脆弱性を発見するセキュリティコンサルタントやユーザーの存在を「利用規約に反する不届き者」と十把一絡げに断罪するデビットソンCSOの投稿が大きな批判を受けたことは無理のないことと言えそうです。Gigazine最近Gigazineがまともなんですが、何か悪いものを食べたか、街頭で別人とぶつかって人格が入れ替わったのかと感じることがあります。
で、既にOracleの社としての正式なコメントで「デビッドソンCSOの投稿は私たちの理念や顧客との関係を反映したものではないため、削除いたしました」とあるので、実際この人はもうOracleの中の人としてはおつかれさまでしたという状況かもしれません。
ダメージコントロールとしてはこれが最善の策だったでしょうしね。
セキュリティでしくじったという話では、かつてはスマホ時代の寵児として大いに注目された台湾企業のHTCもそういう状況に陥っています。
HTCの企業価値が事実上ゼロに―製品に深刻な脆弱性も(Techcrunch 15/8/11)
HTCのOne Maxをアンロックするための指紋認証データが暗号化されず、だれでも読める状態で格納されていることが発見された。セキュリティー上、最悪の違反である。ハッカーは簡単に /data/dbgraw.bmpファイルを読みだして認証データを得ることができる。Techcrunchいやー、HTCのしくじり方がハンパないです。
世界中の誰もがHTC製の指紋認証機能を搭載したスマホから指紋データを抜き出すことが可能という、相当に致命的なセキュリティの不備が見つかったとのこと。経営が傾いたので製品開発に注意がいかずセキュリティ面で不備が出てしまったのか、それともそんなダメな製品しか作れないから経営が傾いたのか、その経緯は外部の者には測りかねますが、同社が立ち直るためにはかなりの努力が必要となりそうです。
こういう話を見ていると、このところ次々と致命的なセキュリティの脆弱性が発見されるAndroid製品を大量に扱いながらも、さして大きな問題になっていない日本のキャリアはなんと恵まれた境遇にあるのだろうと思わずにはいられません。まあ、国内スマホユーザーの多くがiPhoneを利用している現実を考えれば、そういう状況でわざわざAndroidを利用しているユーザーは皆意識が高いので、キャリアによるセキュリティ対応を待たずに自力でなんとかしているから問題が起きないということなのかもしれませんが、いずれ大きな事故が起きたときに一体どうするのだろうと他人事ながらも心配です。せめて、これこれのセキュリティ脆弱性が発見されているので、対象となる端末の利用にはくれぐれも注意しましょうといった啓発活動はすべきなんじゃないかと思うのですが。そんなことをすると却って責任問題として跳ね返ってくるので何もしないのが一番ということなのでしょうか。
うーん、やっぱり腰痛いや。大人しくしていよう。