ICHIRO BLOG引っ越しました

山本一郎です。一時はドコモもご執心だった我らが期待のスマホ向けOS「Tizen」でしたが、そのドコモが手を引いてからはもう随分時間も経ってしまいました。神は私たちを見放したのでしょうか。最近はたまにSamsungのスマートデバイス発表時にその懐かしい名前を聞くことがあるぐらいですっかりご無沙汰していた感もありますが、ここに来て久しぶりにその名前が大きくフィーチャーされるニュースが流れておりました。

「Tizen」に多数の脆弱性、研究者が警告--サムスン製スマートテレビをハッキング（CNET Japan 17/4/5）

この2年間に販売されたサムスンのほぼ全てのスマートテレビは、ハッカーに対して無防備だという。
Neiderman氏がサムスンのスマートテレビに搭載されたLinuxベースの「Tizen」OSを調べたところ、多数の脆弱性が発見された。CNET Japan

せっかく久しぶりにTizenの名前が出たのにあまり良いニュースでないのが残念です。この記事によると「Tizenはセキュリティを念頭に置いて設計されたものではなく、現代の基準を全く満たしていない」ということでかなり致命的な事態であります。いかんせん、Samsungでは2100万台ものスマートテレビをはじめ、スマートフォンやスマートウォッチ、カメラ、車載システム、エアコン、掃除機、洗濯機、冷蔵庫などにTizenを採用してしまっているそうでして、それらの脆弱性対策をどうするか今から頭が痛いところではないでしょうか。

この脆弱性を発見したハッカーがSamsungに連絡しても当初Samsungは無視していたとのことです。まあ、嫌な知らせは無かったことにしたいのが人情、Samsungの中の人の気持ちも分からなくはありません。しかし、こうした脆弱性がTizenにあることを公に発表されてしまっては、無視するわけにもいかなかったということでしょう。現実を認めることにしたようです。

サムスンは米ZDNetに対し、Neiderman氏の研究結果を分析すると述べた。サムスンの広報担当者は、「あらゆる潜在的な脆弱性を解消するため、Neiderman氏に全面的に協力している」とコメントした。CNET Japan

ITデバイスやサービスのセキュリティで一番厄介なのは、脆弱性が発見された場合にその事実を素直に認めて直ぐに対応することができるかどうかではないでしょうか。企業側からすれば、せっかく苦労して軌道に乗せた製品について、どこの誰ともしれないような輩から重箱の隅を突くような細かい難癖ともとれる報告を突きつけられても、それに一々対応するのは面子もあったりしてなかなかやりたくないものです。逆に言えば、脆弱性を発見した攻撃側はそういう企業側担当者の心理を突いて、対応の遅れているわずかの合間に一気に攻めてくるということでもあります。

今回のTizenの場合は、Samsungがイニシアティブをとって推し進めてきたスマートデバイスの核となるOSに深刻な脆弱性があったという話ですから、それが事実であれば同社にとって大きなダメージとなるわけで担当者などからすれば絶対にあってほしくない事態です。少なくとも、ミスを認めて明らかにする限りは、対応策が講じられないうちに事業拡大することは難しくなります。ただでさえ出遅れ気味であったTizenからすると、その普及拡大には致命的なダメージを追うことになりかねません。それもあって、だからこそ当初は無視していたのではないでしょうか。しかし、そうした脆弱性の報告に対して直ぐに対応しなかった事実をメディアに報じられてしまうほうが余程にネガティブなイメージをユーザーに伝えることになるわけでして、そういう意味ではSamsungは随分手痛い失敗をしてしまったなと感じます。

ハッカーを雇って自社製品のセキュリティ脆弱性を常に探るみたいな行為は、ある意味で自社開発チームの成果を常に疑っているような見かけになるため、なかなかやれないことなのかもしれません。しかし、最近はソフトウェア系企業を中心として脆弱性発見者へ報奨金を出すような仕組みを採用するところも増えつつあります。ただ、昔ながらのメーカーなどでは社内的に各部署の面子やプライドなどもあって簡単に真似ることはむつかしいかもしれないですね。何でもネットにつながる時代を迎えつつある今、そういう昔ながらの面子やプライドを重んじていても仕方ないとは思うのですが。