Every CGI has got something insecure except for ...

「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表 という朝日の記事、何か重要な情報が抜けてますね。ちょっと自分なりに補足の文章を書いてみました。


このようなネット上のプログラムのセキュリティ問題には、ひとつのジレンマがつきものだ。
潜在的に被害を受ける可能性のある人に、問題を警告することが難しいということである。


多くの場合、個人情報の流出などの被害を受けるのは一般の消費者である。しかし、消費者に警告すると問題の存在が不特定多数に知られ、クラッカーに悪用される可能性が増えることになる。
多くのセキュリティ専門家は、この危険性を考慮し、一般には公開する前に運用元の企業に問題を警告し対策を促している。
そして、企業が対策して問題が除去されてから、脆弱性を公開するという手順を守っている。


この手順は、警告を受ける運用者が誠意を持って迅速に対応して初めて機能するものである。
しかし、実際には潜在的な危険性が顧客や一般消費者の知る所とならない限り、積極的に対策を取らない企業が多い。
それどころか、脆弱性の具体的な内容を指摘されても把握できなかったり、問題を隠蔽しようとしたり、警告した者をクラッカー扱いするようなケースもあると言う。
そういった場合には、脆弱性に関する情報を公開できる段階に達するまでに多大な努力を必要とする。


善意の専門家は、この原則を遵守することで、脆弱性の調査、把握した問題点の告知、啓蒙、一般ユーザへの警告のいずれにおいても、大きな制約を受けることになる。
一方で、悪意のあるクラッカーはそのような制約無しに自由にネットを利用して情報交換が可能であり、多くの問題あるサイトが非常に危険な状態で運用されているのが現実である。
専門家の中には、この実態を憂慮し、むしろ脆弱性を具体的な侵入方法を含めて公開することで、対策を促そうと考える者もいる。


いずれにせよ、セキュリティ問題に対する技術レベルや対応の迅速性において、専門家が充分と考えるレベルと一般の技術者の認識との間には大きなギャップがあり、
明白な問題のあるプログラムがあまりにも多くのサイトでそのまま運用されている。
今回の「勇み足」の背後には、このような実態に対する専門家の側の危機感と焦燥感があるのは否めない。