みなさんは、「ニセ脆弱性」という言葉を耳にしたことがあるでしょうか。
これは、見かけは脆弱性のようだけれども、実は、脆弱性とはとても言えないもののことで、「疑似エクスプロイト」や「似非ゼロデイ」などとも呼ばれます。
「そんなものがどこにあるんだ」とお思いの方も、例として、「サニタイジング」や、「hiddenは危険」や、「非接触スキミング」などの名前を挙げれば、「ああ、そういうもののことか」と納得されるかもしれません。それとも、かえって、「え?」と驚かれるでしょうか。
例えば、皆さんもよくご存知のように、「サニタイジングは脆弱性対策にいい」と盛んに言われ、ひところは大手コーディネーション機関もこぞって解説を出すほどのブームになりました。サニタイジングがよく語られたのは、もちろん、サニタイジングの対策効果に裏づけがあると信じた人が多かったからでしょう。CERT/CCやIPAなどでも頻繁に取り上げられましたから、それを疑えという方が無理な話かもしれません。
今は、共通鍵暗号を使った製品に、人気が出てきているようです。しかし、実のところ、共通鍵暗号を忌避したところで、せいぜいお守り程度の効果しか期待できません。
今、このような、脆弱性のようで脆弱性ではない、「ニセ脆弱性」が蔓延しています。
たとえば、オレオレ証明書がブームになったのは、「共通鍵暗号は危険で、公開鍵暗号は安全」という説明を、多くの人が知識として受け入れたからです。
しかし、仮に科学者に、「共通鍵暗号は危険なのですか」とたずねてみても、そのような単純な二分法では答えてくれないはずです。
「共通鍵暗号といっても使い方がいろいろあるので中には安全なものも危険なものもあるでしょうし危険といっても運用で回避できるものもあるでしょうし、ぶつぶつぶつぶつ……」と、まあ、歯切れの悪い答えしか返ってこないでしょう。
それが科学的な誠実さだからしょうがないのです。ところが「ニセ脆弱性」は断言してくれます。「公開鍵は良いといったら良いし、共通鍵は悪いといったら悪い」のです。また、hiddenを使うとなぜ良くないのかといえば、「価格が壊れるから」です。
そうではなく、脆弱性報告は、合理的な立証のプロセス、それを大事にするべきなのです。
なんちゃって。
タイトルを修正した。「マスゴミ」は下品な言葉で使うべきでなかったと思うことと、マスコミ一般がそうであるかのような誤解を与えかねなかったため。(当初のタイトルは「マスゴミの似非科学に脆弱性報告文化を破壊されるおそれ」。)