<前の日記(2006年12月21日) 次の日記(2006年12月23日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 155   昨日: 2967

2006年12月22日

素人メディアに脆弱性報告文化を破壊されるおそれ


みなさんは、「ニセ脆弱性」という言葉を耳にしたことがあるでしょうか。

これは、見かけは脆弱性のようだけれども、実は、脆弱性とはとても言えないもののことで、「疑似エクスプロイト」や「似非ゼロデイ」などとも呼ばれます。

「そんなものがどこにあるんだ」とお思いの方も、例として、「サニタイジング」や、「hiddenは危険」や、「非接触スキミング」などの名前を挙げれば、「ああ、そういうもののことか」と納得されるかもしれません。それとも、かえって、「え?」と驚かれるでしょうか。

例えば、皆さんもよくご存知のように、「サニタイジングは脆弱性対策にいい」と盛んに言われ、ひところは大手コーディネーション機関もこぞって解説を出すほどのブームになりました。サニタイジングがよく語られたのは、もちろん、サニタイジングの対策効果に裏づけがあると信じた人が多かったからでしょう。CERT/CCやIPAなどでも頻繁に取り上げられましたから、それを疑えという方が無理な話かもしれません。

今は、共通鍵暗号を使った製品に、人気が出てきているようです。しかし、実のところ、共通鍵暗号を忌避したところで、せいぜいお守り程度の効果しか期待できません。

今、このような、脆弱性のようで脆弱性ではない、「ニセ脆弱性」が蔓延しています。

たとえば、オレオレ証明書がブームになったのは、「共通鍵暗号は危険で、公開鍵暗号は安全」という説明を、多くの人が知識として受け入れたからです。

しかし、仮に科学者に、「共通鍵暗号は危険なのですか」とたずねてみても、そのような単純な二分法では答えてくれないはずです。

「共通鍵暗号といっても使い方がいろいろあるので中には安全なものも危険なものもあるでしょうし危険といっても運用で回避できるものもあるでしょうし、ぶつぶつぶつぶつ……」と、まあ、歯切れの悪い答えしか返ってこないでしょう。

それが科学的な誠実さだからしょうがないのです。ところが「ニセ脆弱性」は断言してくれます。「公開鍵は良いといったら良いし、共通鍵は悪いといったら悪い」のです。また、hiddenを使うとなぜ良くないのかといえば、「価格が壊れるから」です。

そうではなく、脆弱性報告は、合理的な立証のプロセス、それを大事にするべきなのです。


なんちゃって。

追記(修正)

タイトルを修正した。「マスゴミ」は下品な言葉で使うべきでなかったと思うことと、マスコミ一般がそうであるかのような誤解を与えかねなかったため。(当初のタイトルは「マスゴミの似非科学に脆弱性報告文化を破壊されるおそれ」。)

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20061222]
検索

<前の日記(2006年12月21日) 次の日記(2006年12月23日)> 最新 編集

最近のタイトル

2024年03月23日

2024年03月19日

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|
<前の日記(2006年12月21日) 次の日記(2006年12月23日)> 最新 編集