MS の「脆弱性の責任」を問う初の集団訴訟 281
ストーリー by Oliver
参加はお早めに 部門より
参加はお早めに 部門より
MIYU曰く、"
ZDNNの記事によると、米Microsoftに対し、「脆弱性の責任」を問う
集団訴訟がカリフォルニアで起こされた。原告は、マーシー・レビタス・ハミルトン氏。インターネット経由で社会保障番号と銀行口座の情報を盗まれる被害に遭ったのだが、7月1日施行された
カリフォルニア州法で、コンピュータ攻撃による危険にさらされた場合に、その旨を当人に通知しなくてはならない、とされているのに則って米Microsoftを訴えた模様だ。
訴状では、
そんなに恐い? MS批判で解雇 でも話題になっていたCCIAによる報告書の内容が使われているそうだが、Microsoftは、弁護士が訴状を調べているところだとして、コメントを避けている。
『1週間に3回もパッチをあてなくてはならないソフトを提供するのなら、
その責任を取れ』というのがこの訴訟の趣旨だそうだが、さて、ソフトの脆弱性にも製造責任は問えるのだろうか。"
セキュリティー責任者の つい最近の 発言です (スコア:4, 参考になる)
Microsoft最高セキュリティ責任者であるScott Charney氏が
えっと : マーシーさんは、女性だそうです。9月9日に経済産業研究所で行った セミナーの記事 [cnet.com]が、
CNETJapanに掲載されています。
現在のITの世界の状況を、車の発明と交通ルールの整備になぞらえていますが ・・・・このたとえ方だと、Windowsってリコールかかると思うんですが。
Re:セキュリティー責任者の つい最近の 発言です (スコア:2, 参考になる)
、、、正直、売る側(MS は当たり前として PC メーカーや量販店も含めた全般)ももっと積極的にアラートを掛けて欲しいとは思う。PC 売り場でセキュリティに触れられている所を見たことが無い。ソフトウェア売り場の一角を除いて。
買う側の「自己責任」に頼りすぎちゃ、いないかな。
Mc.N
Re:セキュリティー責任者の つい最近の 発言です (スコア:2, 興味深い)
AppleのOS(Mac OS X)にも脆弱性は頻繁に見つかってますよー。
ほとんどがUnix由来ので、一応ちゃんとパッチ出てるけど。
[udon]
Re:NEC様から 情報提供がありました (スコア:2)
セキュリティ・ホールを修正についての NEC商品企画部門様からの回答
従来より、弊社では、セキュリティに関する重大と考えられる Windows上の修正モジュールをマイクロソフト社から入手した場 合は、出荷までに間に合うものについてはSPを待たずに適用し てきております。しかしながら、生産等の都合もあり出荷までに どうしても間に合わない場合もあります。また、マイクロソフト社が発見していない修正モジュールについても、適用することは困難 です。
弊社ではこれまでも、ウィルススキャンソフトを一環してプリイン ストールしておりますし、前述のようにWindowsのセキュリティに 関する重大な障害について生産に間に合うものについては、プ リインストールして適用してきました。
しかしながら、ウィルスソフトは日々進化しておりますので、お客 様が最新のWindowsのUpdateやウィルススキャンのワクチン ファイルをダウンロードされることはどうしても必要となります。
弊社では、挿し紙等のわかりやすい場所に、更新方法についての 手順を記載することで、更新の必要性と方法について、お客様に お伝えしようと努力しております。
問い合わせには、実名でなくハンドルを使ったのですが
このようにきちんとした回答がいただけました。
その事にNECという会社の姿勢が感じられるような気がします。
情報そのものよりも、そちらの方がより重要かもしれない。
Re:セキュリティー責任者の つい最近の 発言です (スコア:1, 参考になる)
CNETJapanってダメなんじゃないのか?
以前、ここでも話題に上った話で [srad.jp]
「最も攻撃を受けている OS は Linux 」ってあったと思います。
CNETJapanに掲載された内容に疑問に思い、原文を入手して
比較した方によると歪曲されいる事に気付いたそうです。
Japan.internet.com: 最も攻撃を受けている OS は Linux [internet.com]
悪意ある歪曲記事を切る 最も攻撃されたのがLinux? [allabout.co.jp]
記者に能力がないのかそれともMSのバイアスが掛かっているのか?
前回の記事の修正として、Japan.interneの信憑性がどうかという事として...
Re:セキュリティー責任者の つい最近の 発言です (スコア:1)
万人に聞(見)かせてあげたいです。
#スラドの人たちにとっては当り前の事ですが
Re:セキュリティー責任者の つい最近の 発言です (スコア:1)
ほんの20~30年前まで、車はよく壊れたりまっすぐ走らなかったりするものでした。
今のOSは、どれもまっすぐ走らないOSばかりだと思います。ドライブ中に故障したら、ボンネットを開けて点検したり、ちょっとした修理をするくらいの知識は、ドライバーにとって必要なものでしょう。
今回の訴訟にしても、原告がきちんと運用してたかははなはだ疑問です。計算機を運用する資格試験があってもいいのではないですかね。車の免許制度みたいに。
少なくともグローバルアドレスを割り振った機械を運用するならば、そのような資格が必要だと考えています。正しく運用されなければ、正しく訴える事も不可能なのですから。
ハードウェアでセキュリティー?? (スコア:1)
ご紹介いただいた記事の中で最も興味を惹いた部分。。。
具体的にこの人がどういうことを考えているのか、これだけではまだいまいちよく分からないのですが (例えば「ユーザーが信頼できるプログラム」を決めるのは誰なのか、あるいはどういう基準でなのか、とか)、それ以上に、セキュリティーをネタにしてハードウェアベンダーに働きかけを起こし、他の OS の追随を阻害しようという計らいなのだとしたら、これはあんまり歓迎できることではないなぁなどと思ってしまったのですが、どうなんでしょうね? (それでも Linux は「勝手に」追随してゆくのでしょうが。。。)
# 他にもいろいろと突っ込みどころがありそうな感じなのですが、既に酔っ払いゆえ、このくらいでご勘弁を。。。
むらちより/あい/をこめて。
元は「貧弱」なんだけど「脆弱」と聞いていつも連想し (スコア:3, おもしろおかしい)
「僕はワラにもすがる気持ちで Linux を試してみた」
「まったくカ・ン・タ・ンだ!」
「今ではすっかり詳しくなり掲示板でもモテモテ!ありがとう Linux!」
# んなこたねえ。
(´д`;)
Re:元は「貧弱」なんだけど「脆弱」と聞いていつも連 (スコア:3, おもしろおかしい)
Re:元は「貧弱」なんだけど「脆弱」と聞いていつも連 (スコア:1, 興味深い)
ここに「素晴らしい洞察」をあげたい。
ダメOSつってもそれなりにセキュアに運用できる人は居るし、
セキュアなOSと思われているもの(どれとは言わんが)でも、
見事に穴だらけに運用する事はできるわけで...。
案外、全てはユーザの資質、「個人差」の問題で、
OSなんてナニを選んでも大差なかったりしてな。(^^;
Re:元は「貧弱」なんだけど「脆弱」と聞いていつも連 (スコア:2, おもしろおかしい)
「脆弱!脆弱ゥ!」
を連想する。
# お前は今まであてたパッチの数を覚えているのか?
MSのせいで… (スコア:3, 興味深い)
責任をとってくれ!
#いやマジで。気になりませんか?
クローズド・ソース (スコア:2, 興味深い)
ユーザ側からするとブラックボックスとみなして信用する
しかない。しかし、ベンダーはエンドユーザライセンスの
免責条項を盾に責任逃れをしてしまう。
ソフトを使った結果に誰も責任を持とうとしないならば、
いつまでたっても問題は解決しない。クローズド・ソースな
ソフトは、PL法などで責任を問えるようにすべきでは?
Re:クローズド・ソース (スコア:2, 興味深い)
今回のBlasterに関して言えばパッチ自体はあったわけですし、
当てないことによる被害が甚大に出たので、集団訴訟となったんだと思います。
オープンソースだとしても、仮にですが被害が大きくなれば同じように集団訴訟なんてことがあってもおかしくないと思います。
>ソフトを使った結果に誰も責任を持とうとしないならば、
>いつまでたっても問題は解決しない。クローズド・ソースな
>ソフトは、PL法などで責任を問えるようにすべきでは
クローズドソース、オープンソースで考えるのではなく、
ソフトウェアは今後バグによる被害に対してパッチではない責任もとる必要が出てくるんじゃないかと思ってます。
そろそろ (スコア:2, 興味深い)
これまでは野放しでしたからね。他の分野はたとえば日本なら何らかの形で通産省なりの役人が関与するのに対し、ソフトにはそれが事実上ありません。
ソフトといえども、人が組織・ラインを成して、コードを作ってコンパイルしており、その過程をチェックすることは不可能ではありませんし、それこそISO準拠の仕事をしているということになれば、そのプログラミングやデバッグなどの過程のチェックエビデンスもきちんとそろっていなければなりません。
そうか、ISOでソフトウェア作成業務の準拠項目をきちんとガチガチに制定すればいいんでしょうにね。
optimized for /.
Re:そろそろ (スコア:1)
桁が変わるんじゃないかと思うんだが。それも2つくらい。
たとえば… (スコア:1, すばらしい洞察)
さらにその金庫からものが盗まれたら、製造元の責任は免れないですね。
ソフトウエアだけがそういう常識から外れていいという
なんかいつの間にか出来た暗黙の了解みたいなものは、
そろそろやめたほうがいいと思います…
Re:たとえば… (スコア:2, すばらしい洞察)
某OSはお金払って使うことを許してもらったもんだからなぁ。
Kiyotan
Re:たとえば… (スコア:2, 興味深い)
金庫は、セキュリティという機能を提供している。
OSは、アプリケーションを動作させる機能をメインで提供している。
その例では、
金庫の側は主目的の部分に欠陥がある(機能を果たすのに許容できない不都合がある、くらいの意味で「欠陥」)。
OSの側は主目的では無い部分に欠陥がある。
なによりWindowsにセキュリティを期待して購入しない(笑)。
#代替のたとえを提供できないのでAC
Re:たとえば… (スコア:1, 参考になる)
重機やバールのようなもので金庫を無理矢理こじ開ける事例も頻発していますから、金庫だからといって安心できるというわけではないでしょう。
さらにいえばメーカーが保証をするのは金庫そのもの(天災により壊れたりした場合の交換保証)だけであって、中身については保証しないのが一般的です。
Re:たとえば… (スコア:1)
このあと、MS信者派対アンチMSの展開になりそうなのでAC
Re:たとえば… (スコア:1)
Re:たとえば… (スコア:1)
さいきんはバールくらいじゃ開かないようですね。
重機で破壊したら中身までぐちゃぐちゃでしょう…
つうかスラドってたとえ話をするとそのたとえの対象に
無理に深入りする性質が有りませんか?
たとえってのはイコールのものという意味じゃないんですが。
>メーカーが保証をするのは金庫そのもの(天災により壊れたりした場合の交換
>保証)だけであって、中身については保証しないのが一般的です。
それはその金庫の構造に欠陥がない場合ですよね…
上の金庫の場合、
>ドリルの刀が簡単に折れる。
と書きながら、ドリルで簡単に穴が開くようなら、金庫そのものの保証だけでは済まないでしょう。
Re:たとえば… (スコア:1)
単にカギをかけたつもりなのにカギがかかってない金庫とか、
「なんちゃってカギ」が付いているだけの金庫とか、
そもそもカギというものが付いていない金庫とか、
とかとか、、、
Re:たとえば… (スコア:1)
そのソフトウェアを自分の所有するハードウェアに適用するかは各ユーザなり
バンドルするハードウェアメーカーなりの判断で、その結果脆弱性が発生した場合、
その責任は適用した側が負うべきだと思うよ。
実際、自動車でも正規ディーラ以外が勝手に電子機器増設しまくって漏電おこした
とかってケースだと自動車メーカーの責任は問えないだろうし
Re:たとえば… (スコア:1, すばらしい洞察)
金庫から盗まれたものに対して製造元が責任を取らされる(保証される)なら、
誰も銀行になんか預けないです。
そもそも金庫とOSとでは用途が全く違う。
この訴訟の影響 (スコア:1)
ゆーへん
訴えればいいと言うのもどうかと思うけど (スコア:1)
(プログラマの皆さんに対して、いってはならないことだろうけど;-;)
普通に使ってるならまだしも「あらを探そうとして使っている」ユーザーもいることだし、
特に3年4年とあらゆる人に様々な方法で使われているのだから
その時々の技術に会わせてアップデートするのは仕方ないかなぁ。と。
もちろんライセンスは払っているけど
何かセキュリティホールが出たとき、膨大な量のプログラムの中から
パッチを作り出す作業をする人の事を考えると、OSの料金はまぁ、妥当な線だと思いますし、
ダメダメ言われても、一応グローバルスタンダード誇れるようになるほどみんなに受け入れれるレベルのソフトだからなぁ。
何でも裁判にしてると、どんな新しい技術でも導入しにくくなると思うけどどうなんだろう。
#きっと、可能性っていうのはその辺に落ちているんだけど
#気がつかない物じゃないかなと思う。
許されなくなる、ということもあります。 (スコア:2, すばらしい洞察)
これはたしかに定番の台詞なんですが、重要性次第なんですよね。
人の作ったものだから、ミスで飛行機が落ちてよいか、というとそうではない。
でも小学校のプリントや町内会の回覧版ぐらいのものならミスだらけでも訴訟にはならないでしょう。
ミスや見落としが許されるかどうかは、その物の重要性に比例すべきですし、実際それに近いでしょう。
PCが好事家の玩具でもなく、特殊な状況で使うものでもない、
かつ重要な情報を扱うものとなってきたということでしょう。
Re:訴えればいいと言うのもどうかと思うけど (スコア:2, すばらしい洞察)
でたときにどう対処するかが重要だと思うんですが、作る人に
それは言って欲しくないです…。
うちらハード屋でバグだしたら大問題になるですよ。まあ、ソフト
は客先でも簡単に修正できるという違いはありますが、やっぱり
品質管理の意味で、バグがでるのが当たり前とは言わないで
欲しいです。
Re:訴えればいいと言うのもどうかと思うけど (スコア:1)
同種の偏見をハード屋に向けるのなら「ハードはソフトより何倍も、下手すり
ゃ何十、何百倍も単純」だわね。要は主戦場が違う。
そりゃ「バグが出るのが当り前」という認識はどうかとは思うけど。
# でも元発言は使う人→作る人なような気がする。
Re:訴えればいいと言うのもどうかと思うけど (スコア:2, 参考になる)
以前、小企業に勤めていたときなど、アートワーク作るときは物凄い神経使いましたが。不具合があろうものなら100枚から200毎の1ロットを全部ジャンパー修正とかですよ。
それにかかる人件費やら、自分が夜通しでしこしこ修正する作業のことを考えると、私はハードウェア設計は決して単純だとは思えません。
#金が掛けれる企業なら別ですが。
#何枚も不良アートワーク作ってみたりとか。
#一度はソフトウェア的に作ってみたかったなー
今ではPLDとか発達したから幾分楽になったのかもしれませんが、ソフトウェアと違って、「モノ」がダイレクトにコストに響きますよ。それを考えるといい加減な設計なんて出来ません。
それを考えると、加速するソフトウェア開発に複雑な思いを感じます。
#といいつつ、今はソフトウェア技術者だけど。
なにはともあれ、MSにはOfficeのすぐクラッシュするバグとかとっとと直して欲しいですね。
直接脆弱性に結びつかない(からかどうかはわからないが)バグだとしても、いつまでたっても修正されないようでは、Trustworthryなんて言葉も安っぽい売り文句にしか聞こえない。
なんだかんだ言って (スコア:1)
一部の会社はバグ報告をしても全く無視したりしますし・・・。
最近流行ったBlasterもパッチは既に出ていて、パッチを当てていないユーザーの管理不足が浮き彫りになっただけかと。
Re:なんだかんだ言って (スコア:3, 興味深い)
昨夜の話です。ADSLがつながったので、まずWindows Update、と思ったら、いきなりBlasterに感染して、強制再起動。
接続してから5分も経ってません。
その後、(*)アンチウイルスソフトで除去→Windows Updateの続き→Blaster感染で再起動→(*)のループからしばらく抜け出せませんでした。
イギリス在住ですが、この近辺ではセキュリティパッチのCD配布の噂も聞きません。
新規インストールすると、有無を言わさず、こういう目に遭います。
私の管理不足が問題なんでしょうか?
どうすれば良かったんでしょうか?
Re:なんだかんだ言って (スコア:2, 興味深い)
Re:なんだかんだ言って (スコア:1)
♯ネットにつなぐ以前に、という前提で。
アメリカならでは (スコア:1)
裁判を起こすこと自体は悪いことではないので、
どんどんやってください。
ただやりすぎて、
「昔Windowsは$300で買えたんだよ。いまじゃ$3000もするし
一日一回セキュリティパッチのチェックが必要になって、
パッチがあたっていないと起動できない。」
なんてことにならないように気をつけてね。
所詮、パソコンなんて道具なんだから
ちょっとぐらい問題あったって
上手に使ってナンボだろ。
無理にインターネット{に、つなげ|を、つかわ}なくてもいいんだし。
とはいうものの最近の緊急パッチは醜すぎる。
再インストールがめんどくさいじゃないか。
最新のパッチがあたったCD-ROMを無償提供するべし。
結審を待たねば分かりませんが (スコア:1, おもしろおかしい)
無保証の無料のOSがあるってことでいいですか?
Re:社会的影響が大きいですし (スコア:3, 参考になる)
http://www6.big.or.jp/~beyond/akutoku/ref/law/shouhisha.html#3
第八条 次に掲げる消費者契約の条項は、無効とする。
五 消費者契約が有償契約である場合において、当該消費者契約の目的物に隠れた瑕疵があるとき(当該消費者契約が請負契約である場合には、当該消費者契約の仕事の目的物に瑕疵があるとき。次項において同じ。)に、当該瑕疵により消費者に生じた損害を賠償する事業者の責任の全部を免除する条項
カルフォルニアの訴訟とは関係なさそうだけど。PL法もあるし
Re:MSに限らない (スコア:2, すばらしい洞察)
MSの脆弱性はWindowsを乗っ取り任意コードをAdministrator権限で実行できるものばかりですよね。
対するUNIXでは、任意コードが実行可能ではない脆弱性も並べられてますし、たとえ実行可能でもroot権限は奪えないものもあります。
脆弱性の数え方が違う以上、脆弱性の大きさのほうが重要かと思います。
Re:MSに限らない (スコア:1)
どちらも「これ使って害を被ってもしらんで」「自分の責任で」
って書いてあるんだからいいんじゃない。
Re:MSに限らない (スコア:1)
指摘されたらとりあえず直せ、と言いたい。それが Trustworthy ってもんだろ?
あと、「脆弱性」って消費者にあやふやな印象を与える言葉もやめようではないか。せめて日本語だけでも。
「欠陥」とか、「へっぽこ」とか...
Re:まぁあれだ。 (スコア:1, 興味深い)
結果として受身になり勝ちということを考慮すれば、
それを認識しうる人が無知を装って代弁することは
必ずしも罪とはいえないのではないでしょうか。
# もっとも、そういう訴訟が起きたことさえ知らない、
# 興味のない人が多いので多分に自己満足も含むとおもいますが。
Re:堂々回り (スコア:1, 参考になる)
って書いてはあるが、書いておけば良いというものでもないんだってさ。
裁判では「不当な(不公平な)契約を強制しているために無効である」って
裁定されれば、その部分は無効になるんだそうな。
だから、「使用許諾契約の一部が無効になっても残りは有効です」
って書いてあるわけで。
例えば、シュリンクラップ契約
(契約内容を見られない状態で開けさせ、開けた後は契約に従うものとする)
なんかは実際に争うと無効になるって話だよな。
Re:選択の自由 (スコア:1)
それに付随するソフト・ハードウエアを考えていくとやはり・・・
表面上は選択の自由がありながら、内面はそうでもないのが実情ですね。
どんなにいい物を作ったとしてもユーザーに選択されなければ支持されない。
欠陥を持っていてもそれが圧倒的なシェアを誇っていれば支持される。
NECが確かIntelのCPUだっけ?それを修正して発売したけど
それがグローバルスタンダードで無かったために破れ、
それの経験が98シリーズがwindowsに移行する大きな要員になったとテレビでやってたような。
#きっと、可能性っていうのはその辺に落ちているんだけど
#気がつかない物じゃないかなと思う。
Re:選択の自由 (スコア:2, 参考になる)
>それがグローバルスタンダードで無かったために破れ…
NECって、独自技術が結構好きっぽいのよねぇ。
μPD8080Aには10進減算補正(SUB)がフラグレジスタに入ってたし、
V30も8086に80186相当の命令をのっけたもの。
(シフト命令がイミディエイト値で指定できる命令が追加されている)
あと、クロックタイミングが1/2だったり、実行ステートが減ったりしてたけどな。
大型コンピュータの面でも、ACOSはIBM互換じゃないしね。
だが、地球シミュレータはいい仕事したと思うよ、ホントに。
Re:雑なフリーウェア公開してる方々 (スコア:1)
もしくは、ソースコードのみの公開にしておけばソースコード自体はただのテキストなんで
システム破壊するようなバイナリができてもそれを作ったのはコンパイルしたやつってことで
Re:対岸の火事ぢゃないよぅ (スコア:2, おもしろおかしい)
改めて考えてみると、今のPCの状況を自動車に例えるなら、
ほえほえ
Re:訴えた人を訴えたい (スコア:2, 興味深い)
>その放置の理由もMSへ責任転嫁して訴えてるというずうずうしさ。
こういう「業界の常識」がパンピーにとっては常識とは受け入れがたいと言いたいのではないでしょうか?
Windowsという製品がデリケートな製品で毎日のようにセキュリティー情報に気を配り、さらにはパッチを当て続けなければ、個人に重大な損失を与えるとうのがパソコンを家電感覚で使おうとする人たちには理解できないという事だと思います。
裁判をとおして、技術者や、あるいは管理者のいるオフィスで使うのではない一般家電としてOSがどうあるべきかという未来像が見えればいいなと思います。
# 数学は科学の女王にして奴隷