パスワードを忘れた? アカウント作成
12983 story

セキュリティ企業は信用できるのか? 88

ストーリー by mhatta
煙が立ってると火があるような気はするわな 部門より

あるAnonymous Coward曰く、"Open Tech Pressの マルウェア対策業界は信用できるかという記事だが、なかなか 衝撃的だ。

McAfeeやSymantecなどの企業が年間数百億ドル規模の市場を興亡を繰り広げている このセキュリティ業界だが、他の安全を扱う組織である 警察・消防・救急等と違って、マルウェア対策業界は全く信用できないと 断罪する記事である。その理由が幾つか書かれているが、

  • US-Certが 各ディストリビューションで出されたセキュリティパッチの数の合算で Unix/Linuxの欠陥総数と公表する姿勢
  • Appleの宣伝キャンペーンの直前に脆弱性の虚偽情報を流した企業の例
  • 昨年91件のLinuxウィルスを報告したロシア企業の公表データを調べると 21件だけに説明があるがほとんどすべては標準*nixパーミッションに 従ってファイルを変更するプログラムだった例
等興味深い事例ばかり。

Windowsに代わる安全な製品はセキュリティ企業にとって収益上の脅威となる、 というのが根本の原因とこの記事では書いているが、多少の語弊があった としても、セキュリティ関連企業がどこまで信用できるかということは 確かに疑問符がつくかもしれない。 日本にはJPCERTなんてのも あるわけだが、これも こんなニュースがでてくると何か勘ぐってしまいそう。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 日本の場合 (スコア:5, 興味深い)

    by yohata (11299) on 2006年07月25日 16時17分 (#984399)
    シマンテックやトレンドマイクロなど、アンチウィルス系の会社なら「まあ大丈夫だろ」と思いますが。

    ファイル共有対策企業が言うことを見ていると
    「少なくとも、この会社は全く信用できない」
    とは思いますよね。

    初期の頃は「暗号を完全に解読した」と言いつつ、その証拠は全く提示せず
    どうやら本当に解読できるようになった最近では、その非合法性を完全に無視して販売し
    「ファイル送信元を完全に把握できる」 と言いつつ、ウイルスの送信元に関しては一切触れない

    最後の点については、特に不信感が募る要素でして。
    本当に把握出来るなら「それを黙って放置しつつ商売って、マッチポンプと同じでしょ?」と思いますし。
    出来ないのなら「それは単なる詐欺じゃない?」と言う話になります。

    どっちであるにしても、信用に値するとはとても思えないですね。
    • by tuneo (2938) on 2006年07月25日 18時02分 (#984441) ホームページ 日記
      > シマンテックやトレンドマイクロなど、アンチウィルス系の会社なら「まあ大丈夫だろ」と思いますが。
      仕事で使ってるので、個人的にはMcAfeeは信じてません。

      あの会社ってばパッチのリリースノートに修正点を書かないんだもん。

      めぼしい変更点もないからとパッチの適用を見送ったら、障害の問い合わせの際に「実は~の問題はこのパッチで修正されているんですよ♪」などと回答されて脱力したことが1度や2度ではありません。
      親コメント
      • by waribashi (4931) on 2006年07月26日 12時55分 (#985025) 日記
        McAfee製品それなりに使ってますが、
        手元にあるパッチのリリースノートには修正点書いてあるように見えます。
        あ、でも、修正点って書き方じゃないですね。
        ○○って問題があって、この問題を解決しました。
        ってのが列挙してある。
        未解決の問題点は公表せず、直ってからパッチでこっそりリリースって感じだと思います。
        親コメント
        • Re:日本の場合 (スコア:2, 参考になる)

          by tuneo (2938) on 2006年07月26日 15時02分 (#985116) ホームページ 日記
          あのですね、「リリースノートに修正点の記載が無い」わけじゃなくて、「リリースノートに記載されていない修正がパッチの中に含まれている」のですよ。

          パッチがリリースされた時にリリースノートを見て「ろくな修正が無いな」と適用を見送るのですが、そのあとでリリースノートに記載されていない問題について問い合わせると「リリースノートには載っていませんが先日公開のパッチで修正済みです」とくるわけ。
          親コメント
    • by sakamoto (8009) on 2006年07月25日 19時36分 (#984479) 日記
      アンチウィルス系と一括りにするけど、トレンドマイクロだけは取り敢えず別って感じがする。
      --
      -- 哀れな日本人専用(sorry Japanese only) --
      親コメント
    • by KENN (3839) on 2006年07月25日 23時53分 (#984595) 日記

      例えばSymantecは、MicrosoftがVistaにIPv6のデフォルトサポートを組み込むことを潜在的な脆弱性として強調している。新しいファイル交換アプリケーションをサポートするためにWindowsでIPv6を使えば、ファイアウォールの回避や外部からの攻撃が可能になるかもしれないという。
      とか言っている [itmedia.co.jp]ようなんですが、それでも信用できると?

      Vistaリリースまでに自分たちのプロダクトはIPv6対応出来そうも無いという状況を逆手に取ったFUDにしか見えないんですが。

      親コメント
      • by vn (10720) on 2006年07月26日 1時05分 (#984639) 日記
        Vistaリリースまでに自分たちのプロダクトはIPv6対応出来そうも無いという状況を逆手に取ったFUDにしか見えないんですが。
        Vista の IPv6 が既に十分枯れているなら、後は Symantec が
        頑張ればいい話ですが、枯れていないならば、「どこのベンダーでも
        Vista リリースまでに IPv6 対応するのは無理」というだけの
        話かもしれません。今の時点で「FUDにしか見えない」というのは
        短絡的です。
        親コメント
  • by chiba-f (6867) on 2006年07月25日 10時15分 (#984174)
    こいうこともあった:
    ソニーBMGのCD保護対策にセキュリティの懸念噴出--「行き過ぎ」との批判も - CNET Japan [cnet.com](2005/11/02)
    「このコピー対策ソフトウェアを開発した英国のFirst 4 Internetという会社は、偽装メカニズムがリスクでないこと、そして開発チームが確実を期すためにSymantecなどの大手ウイルス対策企業と密接に協力したことを明らかにした。この偽装機能は、これまでの同様の製品では容易だったコンテンツ保護機能のハッキングを、不可能とまではいかなくても困難にすることを狙ったものだと同社は説明している。」
  • たまにはOpenBSDを (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2006年07月25日 10時58分 (#984209)
    思い出してあげてください
  • by greentea (17971) on 2006年07月25日 12時37分 (#984275) 日記
    そんなもんありません。

    Windowsに代わる存在になってきたころには、
    ウイルス、ワーム、マルウェアも増えるし、
    アップデートしない人、変な実行ファイル動かす人、
    セキュリティ意識のない人も増えます。

    そうなったら、(Windowsと比べてどうかは知りませんが)
    結局安全じゃなくなる、と。

    それくらい、セキュリティ企業も考えてるんじゃないかなぁ
    --
    1を聞いて0を知れ!
    • by vn (10720) on 2006年07月25日 13時09分 (#984295) 日記
      Windows のシェアが縮小するということは、おそらく
      Dan Geer が懸念する IT の「モノカルチャー」が終わるという
      ことでしょう。x86 上の Linux 一辺倒ではなく、Mac OS X,
      Solaris, FreeBSD などが割拠する時代。できれば CPU も色々な
      アーキテクチャが競い合ってほしいものです。
      そうなれば、世間の Windows が片端から同一のウィルスに
      感染してしまうような、ダメージの大きい現象は起こりにくくなります。
      もちろん JVM を利用したポータブルなウィルスを作ろうとする
      悪党は出てくるでしょうけれど、今のところ JVM の方が
      Windows 全体よりもはるかに良くコントロールされているように
      見受けられます。
      結論として、Windows のシェアが縮小した場合、おそらく
      マルウェア対策業界は縮小を迫られるでしょう。
      親コメント
      • by Anonymous Cowerd (24277) on 2006年07月26日 18時47分 (#985238)
        > そうなれば、世間の Windows が片端から同一のウィルスに
        > 感染してしまうような、ダメージの大きい現象は起こり
        > にくくなります。

        多数のプラットホームが割拠する20年前の状況に戻ったとして、
        マルウェア作者がターゲットを定めにくくなるのは確かだと思います。
        しかし、マルウェア作者以上に選択しにくくなるのが一般ユーザです。
        知識共有が困難になり、不便になり、使う人が減る可能性があります。

        > 今のところ JVM の方がWindows 全体よりもはるかに良く
        > コントロールされているように見受けられます。

        その意見に関しては異論を持つ人も多いのではないでしょうか。
        親コメント
    • もうちょっと正確にいいましょうか

      セキュリティ企業は別にWindowsじゃなくてもいいんです
      いまはWindowsシェアが圧倒的なだけでシェアが
      他のところにいけば一緒にそっち行くだけです。

      今はWindowsの脆弱性は比較的商売にしやすいという
      だけですよ
    • >(Windowsと比べてどうかは知りませんが)

      あなたはWindowsに代わる安全な製品について語っているんだから、
      そこが一番重要だと思うんだけど...

      マルウェアが全く無いシステムがあるかと尋ねられたのなら、
      あなたの言う通り「多分無い」で正解なんだけどね。
  • 事後対応で手遅れになることも少なくない警察・消防・救急と、郵便受けを開けるごとにいらぬ指導をしてくれるセキュリティーソフト、どっちが良いかは簡単には比較できないでしょうけど。

    会社のPCでは多少うるさいのも致し方ないと思いますが、個人が大量の警告にびびってセキュリティソフトを継続購入すると言うのであれば、ひとつひとつの警告がある種の誇大広告とも取れるわけで……。
  • by vn (10720) on 2006年07月25日 13時38分 (#984314) 日記
    今ふと思ったんだけれど、
    2003年に Daniel Geer が Microsoft の怒りを買って解雇された事件 [computerworld.com]と、
    Massachusetts 州政府が ODF を採用 [srad.jp]したこととは
    関係があるんじゃないだろうか。
    彼は州内のセキュリティ企業で働いていた訳だし、方針公表後だが
    Massachusetts 州政府の決定を支持する論説 [com.com]を書いている。
    もちろん、モノカルチャーは脆弱性に繋がるという彼の論点は
    まっとうなものだ。
    しかし、この解雇によって、有力な論客が精力的に活動する
    きっかけが出来てしまったのかも知れないと思う。
  • by Anonymous Coward on 2006年07月25日 9時48分 (#984157)
    一般的に、信用できる企業、できない企業はどうやって判断してるんでしょう?
    • by Anonymous Coward on 2006年07月25日 9時52分 (#984162)
      不祥事発生時の対応を見て、かな。
      親コメント
    • 全社員がデスクトップの壁紙を会社のロゴにしている企業
      は信用できます。そういう企業は社員が好き勝手なソフトを
      入れたりせず、文書の書式もビシッと統一されています。

      これはジョークではなく実話です。

      恐る恐る「壁紙も社則なんですか?」とそこの社員に聞いたら、
      「情報部門トップの命令ですが、当社のロゴがカッコいいので
      誰も文句を言わない
      んですよ、アハハ」とのこと。

      うーむ、私も会社のロゴ刷新を上司に進言するべきか・・・
      --
      匠気だけでは商機なく、正気なだけでは勝機なし。
      親コメント
      • デスクトップ画像くらいなら笑い話で済ませられますが、
        OS やアプリケーションもおそらく統一されているのでしょう。
        となると、「モノカルチャーが失敗することは生物界で繰り返し
        証明されている」
        (前出の Dan Geer) ということが問題になります。
        IT でモノカルチャーを選択するということは、言ってみれば
        フォードが T型という1車種に全てを賭けるようなものです。
        (かつてはそれが合理的な経営戦略だと考えられていました。)

        デスクトップ画像が統一されている会社を見たら、
        おおいに警戒すべきだと私は思います。
        親コメント
  • by Anonymous Coward on 2006年07月25日 10時05分 (#984169)
    警察・消防・救急等は信用できるのか?
    • by Elbereth (17793) on 2006年07月25日 10時36分 (#984188)
      人が作ったものだから無条件に信用すると痛い目にあうけども
      ある程度信用した上で話を進めないと、「仕事」が進まない。
      これは何事も共通するでしょう。

      ノウハウ的には、どこで誤りや不正が行われやすいかを知っておけば
      回避したり追求したり、妥協したりしやすいという話ですかね。

      あれ、プログラムも人間社会もあまり変わんねぇ?
      親コメント
    • by Anonymous Coward on 2006年07月25日 11時34分 (#984233)
      無条件で、信用する(というか頼る)のは問題あるとは思いますけど、良きにしろ悪きにしろ、人類が長年掛けて作り上げてきた制度なので、それなりに役に立つことは保証されていますし、実際無いと困るどころか社会が成り立たないです。

      「信用」って言葉だけでくくってしまうと、「何を」信用するのかという文句が抜けてしまうので、論点が非常にぼやけるというか、いったい何をして、警察・消防・救急と比べているのかよくわからない。気持ちはわかるけど、めちゃくちゃだなーと。
      親コメント
    • 某宗教団体や某民族団体が絡まない事件なら、
      警察はそれなりに信用できますよ。
      もちろん、ならない場合もありますが、
      おおむね真面目にやってくれているかと。
      • by Anonymous Coward on 2006年07月25日 13時51分 (#984325)
        あくまで個人的な印象ですが、少なくとも警察は全く信用できません。某団体うんぬんは関係なく。

        まあ、見せかけ上の犯罪率を下げることには一生懸命だと思いますけどね。
        でも、実際のところ、犯罪を「なかったこと」にしているだけだったりするので…。

        # 実家の窓ガラスをヤンキー連中に割られまくったけど被害届すら出させてもらえなかったのでAC
        # そりゃ相談で済ませれば犯罪件数にはカウントされんわな
        親コメント
      • 道路での集金だけでしょ
        それすらもあまり真面目にやってないのに

        役に立つのは事後処理の検察じゃね?
  • by Anonymous Coward on 2006年07月25日 10時39分 (#984189)
    例えば、US-CERTの年次「虚報」 [newsforge.com]とされるものを見ても、複数のディストリビューションでそれぞれリリースされたパッチが別々にカウントされてるようには見えないんですが。

    他の主張も検証した訳じゃないが、なんか眉唾じゃないっすか?

    # Linux派だがこういう主張はすべきではないと思うのでAC
    • Re:元記事が眉唾 (スコア:3, 参考になる)

      by Anonymous Coward on 2006年07月25日 11時25分 (#984229)
      >例えば、US-CERTの年次「虚報」とされるものを見ても、複数の
      >ディストリビューションでそれぞれリリースされたパッチが別々に
      >カウントされてるようには見えないんですが。

      どの辺を読んだのでしょうか?

      私もまだ斜め読みしただけだけど、この辺とかはどう?
      Cyber Security Bulletin 2005 Summary [us-cert.gov]の一部を拾ってみる
      と、同じ名前の脆弱性報告が下記のように並んでいて、そのリンク先
      を上から順に見ていくと、同じ脆弱性に対して別のディストリビュー
      ション名が追加されているだけの内容になっているんだけど...

      GNU GZip Directory Traversal
      GNU GZip Directory Traversal (Updated)
      GNU GZip Directory Traversal (Updated)
      GNU GZip Directory Traversal (Updated)
      GNU GZip Directory Traversal (Updated)
      GNU GZip Directory Traversal (Updated)
      GNU GZip Directory Traversal (Updated)
      GNU GZip Directory Traversal (Updated)
      GNU GZip Directory Traversal (Updated)
      GNU GZip Directory Traversal (Updated)
      #以下は「同じ文章の繰り返し」という投稿フィルタに引っかかるので
      省略

      親コメント
  • by Anonymous Coward on 2006年07月25日 12時09分 (#984251)
    A:ヒント「マッチを使う」
  • たとえるなら (スコア:0, おもしろおかしい)

    by Anonymous Coward on 2006年07月25日 12時48分 (#984284)
    歯医者が虫歯の完全予防法をあみ出さない、またはもし発見したとしても公表しない、みたいなもん?
    • by Anonymous Coward on 2006年07月25日 16時06分 (#984392)
      「歯が無ければいい」というのが「まんがサイエンス」にありました。
      親コメント
    • by Anonymous Coward
      「食後にはきちんと歯磨きしましょう」と昔っから言っているけど忘れてるのかな?
      そりゃ、殆ど労力掛けないで虫歯を防ぐ方法なんてのは難しいよなぁ(笑)

      #ウイルス対策も似たようなもんだ。
      • by Anonymous Coward on 2006年07月25日 16時47分 (#984413)
        歯みがきよりも、甘い物の制限よりも、フッ素の虫歯予防効果が圧倒的だそうで
        実際に多くの国で実行されています。

        というわけで、「殆ど労力掛けないで虫歯を防ぐ方法」は既に存在します。
        親コメント
        • by Anonymous Coward on 2006年07月25日 19時48分 (#984487)
          一応、米国などの経験から"過剰な"フッ素摂取はある種の問題を生じることがあると
          報告されているので、導入する場合は適切なコントロールが必要だと勧告されています。

          ま、量を守れというのは塩とかと同じことね。
          親コメント
    • by Anonymous Coward
      「なんでG氏の虫歯にはあまり口出しせずに、私の歯肉炎には必要以上に口出しするんだ。きっとあの歯医者はG氏とつながりがあるんだ。こんな歯医者なんぞ信用ならん」
      って言ってるんじゃないかと。
  • 標準*nixパーミッション (スコア:0, おもしろおかしい)

    by Anonymous Coward on 2006年07月25日 15時16分 (#984364)
    文字化けしているようですよ。
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...