セキュリティ調査と「恐喝」の差 41
ストーリー by mhatta
公益と私益 部門より
公益と私益 部門より
pinbou 曰く、
本家/.の記事より。ロシアのセキュリティ調査企業Glegの行動が、海外のセキュリティ系ブログで話題になっているようだ(eWeek Security Watchの記事)。この企業は最近RealPlayer 11の最新バージョンにおいてゼロデイ攻撃につながる脆弱性を発見したが、その詳細を(数度の要請にも関わらず)RealNetworks社にもUS-CERTにも公開せず、最低10,000ドルからという高額料金で自社と契約した顧客にのみ開示しているらしい。このようなGleg社の行動とビジネスモデルに対し、一部のセキュリティ関係者は、これはユーザを人質に取った「恐喝」ではないかと批判している(Daniwebの記事)。
ホントに見つけたのかなぁ (スコア:4, すばらしい洞察)
情報を開示せずにどのようにして証明するのだろう.
とはいえ,すぐにばれるような嘘をつくとは思えないけど.
屍体メモ [windy.cx]
Re:ホントに見つけたのかなぁ (スコア:1)
手掛かりを残さないために、その後のサーバをどう扱うかは
また別に考える必要はあるけれど。
あれか (スコア:3, おもしろおかしい)
Re:あれか (スコア:3, すばらしい洞察)
それに、外部の会社が発見できたセキュリティホールを開発元自身は発見できないというのもほんとは恥ずかしいことのはず。
Re:あれか (スコア:2, おもしろおかしい)
「この企業は最近( )においてボーナス直撃につながる脆弱性を発見したが、その詳細を( )にも日電協にも公開せず、最低10,000円からという高額料金で自社と契約した顧客にのみ開示しているらしい」とか
あ、( )には好きなパチスロ機の名前とメーカー名を入れてください。
Re: (スコア:0)
正しいビジネスでしょうね。
金額に関しては高すぎると思えば、払わずに自分で解決すればいいだけですし。
不正な方法をつかって手にした情報でお金を手に入れようとしているわけではないし、
恐喝扱いするのはひどいと思います。
これで (スコア:0)
Re: (スコア:0)
どっかのビルに入ったとして、そこに不審物があったり、なんだかでかい傷があったとしたら警備員に話しておくんじゃないかねぇ?
「傷があるよ」って情報を金にしようなんて思わないだろ?
Re: (スコア:0)
のほうが近いのでは。例の中の「どっかのビルに入る」事がこの企業の仕事なわけですし。
Re:あれか (スコア:1)
「この会社盗聴されてますよ」って世間に公表した上で、
お金を要求しているところじゃないですかね?
Re: (スコア:0)
言うのが今回の件ですよね
たんぽぽという映画で、スープの作り方を教えない有名ラーメン店の
隣に住んでいる人が、のぞき見できる穴を主人公に見せる代わりに
金を取るのを思い出しました。
Re: (スコア:0)
もちろん、その申し出を受け入れるかどうかも自由ですが。
しかしビルの壁の傷ほどはっきりしたものなら自社の警備員でも発見できるでしょうけど、中の鉄筋が足りているかどうかなどの専門的な調査は業務として行っている会社はありますよね。
特に一時期依頼が殺到したと思われる、耐震強度偽装問題のチェックなんかはその例の一つでしょう。
今回の場合は業者が勝手にビルをチェックして、「おたくのビルには重大な欠陥がある。情報料を払えばその欠陥について教えてやる」と言っているようなもので、「恐喝」とは言えないのではないでしょうか。
ビルのオーナーには断る自由もあるわけですし、「欠陥がある」というヒントまでくれているわけですから、その業者に金を払うのがイヤなら自力で調べればいいだけでしょう。
第三者に金で売るところが違う (スコア:1)
>「欠陥がある」というヒントまでくれているわけですから、
>その業者に金を払うのがイヤなら自力で調べればいいだけでしょう。
これはその通りなんですが
>「恐喝」とは言えないのではないでしょうか。
ほかに金を払ってくれる人がいればそちらに欠陥があるという
情報を売り渡すという点が問題なのではないでしょうか?
これが,「だったらユーザに広く公開する」というのなら話は別.
1)車に欠陥があることを発見
2)メーカーに買ってくれという
3)メーカーは断る
4)広く公開して注意喚起
こういうことならいいんだけど.
屍体メモ [windy.cx]
Re: (スコア:0)
Re: (スコア:0)
これは、893まがいの人のシノギに見えるなぁ。
>耐震強度偽装問題のチェックなんかはその例の一つでしょう。
これは、依頼されてするもんだろ?
チェックの押し売りはやっぱり犯罪のような。
Re: (スコア:0)
いや、RealNetworks社は別に情報料の支払いを強要されているわけじゃないよね?
Gleg社の提案を受け入れたくなければそれを拒絶して、自力でセキュリティホールを探し出すか、Gleg社に代わって無料でセキュリティ診断してくれる親切な企業を探すかすればいいだけの話。
倫理的に賞賛される行為ではないとしても、「恐喝」や「押し売り」呼ばわりされるものではない。
そもそも瑕疵自体、RealNetworks社が自分で作ってしまったものであり、Gleg社が仕掛けたものでないんだし。
勝手に診断することが犯罪なら、世の中の格付け機関は大部分が犯罪者の集団ということになるのでは?
Re:あれか (スコア:1)
「この会社の防犯システムには欠陥がある。会社が金を払うならそれを教えよう。
金を払わないなら、金を払ってでもその情報を欲しがっている第三者に売るぞ」
Re: (スコア:0)
> 金を払わないなら、金を払ってでもその情報を欲しがっている第三者に売るぞ」
その情報の流布自体が法律で禁止されているものでなければ、やはり「犯罪」とは呼べないと思うなあ。
そもそも、もし「犯罪」ならRealNetworksがさっさと司法に訴えてケリを付けてるでしょ。
道義的にはあまりクリーンでなくても、違法ではないからRealNetworksも困っているという話なのでは?
Re: (スコア:0)
風説の流布でねえのか? (スコア:0)
個人的な倫理綱領にあてはめると (スコア:3, 興味深い)
金を払ったからといってRealNetworks社以外に教えちゃダメだよな。
Re: (スコア:0, フレームのもと)
・ RealPlayerは使っちゃダメだよな(それはオープンソースでないから)
・ RealPlayerは使っちゃダメだよな(それはMS製品でないから)
・ RealPlayerは使っちゃダメだよな(それはApple製品でないから)
まあベンダーにだって (スコア:2, 興味深い)
Re:まあベンダーにだって (スコア:1, 参考になる)
Enterprise版にはセキュリティフィックスが摘要された5.0.52(たしかhotfixもかな)があるけど、コミュニティ版は未だに5.0.51です....
RealNetworks以外の誰が買うんだ? (スコア:2, 興味深い)
正直、他社製品の脆弱性情報なんてトロイばら撒くのに利用するくらいしか利用用途が思いつかないんだが、そんな高い金を払って買う価値はどこにあるんだ?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
つまり、Glegはダークサイド専門の会社に分類されたも同然という話。
ワビサビなんてのもありましたね。 (スコア:1)
http://gigazine.net/index.php?/news/comments/20080126_wabisabilabi/ [gigazine.net]
RealPlayerって (スコア:0)
FlashやMediaPlayer,QuickTimeのことは聞いても、RealPlayerの話題は余り聞かないし、現実Web動画では相当マイナーな様な気がする。ロシアではメジャーなのか?
Re:RealPlayerって (スコア:1)
ここ [jst.go.jp]とか。(お昼休みにでもどうぞ)
Re: (スコア:0)
Re: (スコア:0)
Re:RealPlayerって (スコア:1)
RealPlayerはスパイウェア? [higaitaisaku.com]。
拡張子を全部掻っ攫っていくようなソフトはどうも信用できません。後知らないところで勝手に動くな。
Re: (スコア:0)
セキュリティホールを探し出すノウハウ (スコア:0)
そういう末端ユーザーでもセキュリティホールを探し出すノウハウが普及していれば、件の商売は成立し得ないだろう。ユーザー全員が例外なく知るべきノウハウとは無論思わないが、調べようと思い立ったらいつでも調べられるようにはなってほしいものだと思う。
10,000ドルって (スコア:0)
10,000ドルとして (スコア:0)
直してくれるんだったら払うかもしれないけれど。
恐喝と詐欺はどちらが罪深い (スコア:0)
人に脅威をお伝えすること (スコア:0)
Re:釣り糸を垂らしてみるか (スコア:1)
RealPlayer for Linux. An opensource media player for Linux [helixcommunity.org]という。
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
Re: (スコア:0)
ソースキボン