パスワードを忘れた? アカウント作成
295363 story
情報漏洩

Kaspersky Internet Security のソースコードの一部がインターネットに流出 22

ストーリー by reo
それは残像だ 部門より

ある Anonymous Coward 曰く、

セキュリティソフト Kaspersky Internet Security の 2007 年末時点でのソースコードがインターネットに流出したそうだ (本家 /. 記事The H Security の記事より) 。

流出したコードは 2008 年初頭に Kaspersky 社に不満を持っていた元従業員によって持ち出されたと見られるものだそうで、ブラックマーケットへの販売も試みられていたという。ウイルス作者がこのコードを参考にした可能性もあるが、Kaspersky 社によると現在の製品には流出したコードの一部しか使われておらず、また流出したコードは保護機能に関するものではないと主張、ユーザーは不安を感じる必要はないと述べている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そもそも (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2011年02月03日 11時37分 (#1897685)
    コードが公開されるとセキュリティが損なわれるようなソフトなんて、駄目でしょ。
    • by yamajaki (13288) on 2011年02月03日 14時04分 (#1897829)

      従業員によって簡単にソースコードを持ち出されてしまうようなセキュリティ体制だったわけですよね。
      そんな会社が出すセキュリティソフトを信用していいんですかねぇ。

      親コメント
      • 日本でもセキュリティシステムを売っているベンダーの
        社内システムがウイルスにやられて、一週間くらい社外と連絡が取れなかった
        なんて話を複数聞いています。

        ITベンダーの社内システムのIT化が進んでいうないとか
        よくあるし。
        親コメント
      • by fukapon (4131) on 2011年02月03日 14時31分 (#1897837)

        何をもって信用するかって話ですな。

        高度かつ検証可能なコード/バイナリか否か。ってあたりが模範解答なのかな? 本来、制作者の人格に類するものは関係ありませんね。
        まぁそんなもんどうやって知るんだってところで、おっしゃる通り「自分がそれで、他人にセキュリティ語れるの?」ってとこかなぁとは思います。

        親コメント
      • by Anonymous Coward
        そもそも、どこの会社のセキュリティソフトであっても、信用してはいけません。
        セキュリティホールは存在するものですし、マルウェアの検出率は決して100%ではありませんし、ましてや、悪意あるコードが含まれている可能性だってあるのですよ。
  • 実は・・・ (スコア:2, すばらしい洞察)

    by kikki (30639) on 2011年02月03日 12時35分 (#1897755)
    「おれ、アンチウィルスソフトが売れ続けるように、強力なウィルスを開発し続ける部門にいたんだ・・・ほら、ソース」
    って発言の方が(内容の真偽にかかわらず)騒動になっていたような気がする。
    • by gonzo (38147) on 2011年02月03日 13時03分 (#1897792)

      そりゃ騒動どころか事件だ

      親コメント
    • by Anonymous Coward
      ソースを受け取ってもそのまま感染するわけでもないし、
      アンチウイルスソフトベンダにいたときのものなら、(亜種も?)対策済みだろうし。

      てのは勘違いですか?
      • by digoh (17917) on 2011年02月04日 11時55分 (#1898381) 日記

        研究用にウイルスを作成することは別にあっても良さそうなことですから
        (既存の脆弱性があるがウイルスは存在しない、という時にその脆弱性を突くウイルスを作成してみる、というのはアンチウイルスベンダーとしては真っ当な仕事だと思うの)
        むしろ必要な証拠は「そういうウイルスを野に放った」かどうかですね。

        親コメント
  • by Anonymous Coward on 2011年02月03日 11時33分 (#1897678)

    > Kaspersky 社によると現在の製品には流出したコードの一部しか使われておらず、また流出したコードは保護機能に関するものではないと主張、ユーザーは不安を感じる必要はないと述べている。
    「MS-IMEは日本で作られています(キリッ」並みに斜め上の言い訳だ。

    • 盗まれたのが、デジタル署名に使う秘密鍵だったりしたら、Kasperskyをアップデートしたらウィルスになっちゃった、とか、Kasperskyお墨付きのウィルスが出回ってる、みたいなことになり得るわけで。

      今回出回ったのは社内見学に来た小学生にも見せるような機密性のないデータで、機密のデータは別途完璧に分けてます、とか後から言い訳はいくらでも出来るけど・・・。
      親コメント
      • by Anonymous Coward

        > 盗まれたのが、デジタル署名に使う秘密鍵だったりしたら、
        そんなもの即座に失効させれば済む話でしょ。VeriSignだってMicrosoftを自称する馬の骨に証明書をあげちゃったことがあります。
        むしろこのルート証明書を失効させたら混乱が起きるのでできません、ってほうがヤバい(プライバシーマークの更新審査的な意味で)。

        • by Anonymous Coward

          > デジタル署名
          > VeriSign
          > Microsoft
          > ルート証明書
          親コメントを表示したら広告がMSDNのキャンペーンとグローバルサインのコードサイニング証明書とSSL証明書になったインタレストマッチぶりに感動した。

  • by Anonymous Coward on 2011年02月03日 11時34分 (#1897681)

    不安はどうやっても感じるだろそりゃ。
    「今回はたまたま大丈夫だった」って可能性とか、考えたらキリがないんじゃないか。

    抜本的な改善策を提示しないと安心なんてとてもとても…

  • by Anonymous Coward on 2011年02月03日 11時53分 (#1897704)

    ソースコードよりも、会社の待遇に不満を持っていて、かつそいつが腕があったとして、ホワイトハッカー→ブラックハッカー(細かい言葉のツッコミ不要。ニュアンス的なものとして)になった方が問題なのではないかと。

    つまり「のちの『ダースベーダー』誕生の瞬間である」ってヤツですな。

  • by Anonymous Coward on 2011年02月03日 12時31分 (#1897745)
    会社に不満をもった社員が、会社の損害が大きそうで売ったときにお金にりそうな保護機能など重要な 部分は避けてどうでもよさそうな一部のソースだけ持ち出したわけですか。
    • by digoh (17917) on 2011年02月04日 11時53分 (#1898377) 日記

      とりあえず発表を信じる前提でもパターンは色々考えられて
      ・元社員も評価する知識がなく適当に持ち出し、買うほうも買ってから中身の価値が低いことを知った
      ・元社員は価値が低いことを知っていたがそれを隠して売買し、買うほうは買ってから中身の価値が低いことを知った
      ・元社員は価値が低いことを知っており、売買もそれを前提に行われたが、買ったほうはその内容よりも「ソースコードが漏れた」という事実の方が重要だった
      ・そもそも「保護機能など重要な部分」などない!

      #そもそも元社員が重要な機能のソースに触れる権限が無かった、のであれば
      #(漏れたこと自体で最終評価は落ちるものの)会社のシステムとして
      #漏洩に対する防護はあったということになる……と言えなくもない……よね?

      親コメント
    • by Anonymous Coward
      重要な個所の開発には直接関与していなかったと考えれば、特に不自然ではないかと。

      流石に平社員が簡単にアクセスできる場所に、ソースコードをまるまる置いていたりはしないんじゃないかな?
      多分……きっと……恐らく……だといいな……。
      • by Anonymous Coward

        「ま、ちょっとは覚悟しておけ」が抜けてる

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...