<前の日記(2007年10月30日) 次の日記(2007年11月03日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1083   昨日: 3744

2007年10月31日

ジャストシステムはどこへ向かっているのか

ジャストシステムが、ユーザの安全確保よりも、何らかの別の目標*1に向かっているらしいことは、次の事例で一目瞭然だろう。

図1: ジャストシステムの「すでに改修されている脆弱性について」という告知 (2007年4月6日発表)

こんな言い回しは他で見たことがない。

脆弱性情報を公表することの目的が、まだ修正版の存在を知らされていないユーザに対してアップデートの必要性を周知することにあるということは、(ユーザの立場で考えれば)誰でもわかるはずだ。それなのに、ジャストシステムは、まず先に、「ご安心ください」と言う。(図1の1つめの矢印部分。)

Kaspersky Internet Security 6.0 および Kaspersky Anti-Virus 6.0のVista対応版プログラム以前の製品(バージョン 6.0.0.306)で5つの脆弱性が発見されています。この問題に対する修正は、3月14日より無償でダウンロード提供しているVista対応版プログラム(バージョン 6.0.2.614)ですでに改修されておりますのでご安心ください。

※Windows XP/2000でお使いの方が対象となります。
※現在ダウンロード、および、店頭で販売している製品は、すでにVista対応のプログラムとなっておりますので、プログラムを入れ替えていただく必要はありません。

すでに改修されているKasperskyの脆弱性について, ジャストシステム, 2007年4月6日

当然、3月14日より前にインストールしてそのままのユーザがいるわけで、「ご安心ください」で済む話ではない。

ジャストシステムは、脆弱性のあるバージョンをまだ使用していると思われるユーザに対して、それに続く後半部分でやっと次のように言っている。(図の2つ目の矢印部分。)

まだVista対応版を入れていただいていない方は、ご面倒をおかけして申し訳ございませんが、速やかにVista対応版に入れ替えてくださいますようお願いいたします。 なお、プログラムの入れ替えが必要かどうかについては、お使いのプログラムのバージョン情報をご確認ください。

すでに改修されているKasperskyの脆弱性について, ジャストシステム, 2007年4月6日

先に言うべきことはこっちだ。

長文を読むのが苦手な一般の人たちが、上から順に目を通して、「ご安心ください」だの、「プログラムを入れ替えていただく必要はありません」という文字を見たら、どういう行動をとるか。

ジャストシステムがガス製品を販売したら死人が出るだろう。

こういった悪い社告の例については、経済産業省の「消費生活用製品のリコールハンドブック」にも書かれている。

良い社告の例が図3にあるように、読者は何をすればいいのか、自分は該当するのかが、すぐに確認できるように書かれているべきだ。

コンピュータソフトウェアのセキュリティ脆弱性のケースでは、これに加えて、どのくらいの危険度があって、回避策はあるかを示すことが重要となる。なぜなら、「危険度が小さければパッチを適用しない」という判断をする人たちがいるからだ。

このことは、IPAの「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」に書かれている。

ジャストシステムの広報IR室長(NHKニュースで話していた人)はこれらに関心がないのだろう。

ここで気づいたのだが、今回の一太郎の脆弱性のJVNで、「ベンダ情報」の部分が図4のようになっているのが、普通と違う。

図4: JVN#29211062 の「ベンダ情報」

普通ならば図5のようになっているはずだ。

図5: JVN#75899905 の「ベンダ情報」

外国の会社がジャストシステム(図4)のようになっているのはよく見かけるが、国内の大手企業で、しかも国内からIPAに届出られてJPCERT/CC経由で調整されたものなのだから、ここは図5のようになっていても不思議でない。

この違いはどうしたことだろう? よくわからない。

それから、「Kaspersky 脆弱性」で検索してみたら、こんな記事が見つかった。上の「すでに改修されている脆弱性」(4月の件)とは別の脆弱性のようだ。

  • Kasperskyの無償オンラインスキャナに脆弱性、修正版を公開, INTERNET Watch, 2007年9月11日

    Kaspersky Labでは、すべてのKaspersky Online Scannerのユーザーに対して新バージョンのインストールを求めている。なお、同ツールは、Kaspersky Labs Japanのサイトや、ジャストシステムが開設しているKaspersky製品の情報サイトにおいて日本語版サービスが提供されているが、それらは日本時間の11日夕方時点ではまだ最新バージョンに移行していない模様だ。最新バージョンにするには、いったん英語サイトにアクセスしてアップデートする必要がある。

この件についての告知が、「JUST Kaspersky」のサイトに見当たらない。

なぜ告知しないのだろう? 告知しなくてもアップデートしてくれると思っているのだろうか?

*1 たとえば、サポートセンターへの問い合わせ件数を最小化することが、広報部門の業績評価尺度となっている場合などには、このような事態に陥りそうな気がする。

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20071031]

高木浩光@自宅の日記 - ジャストシステムはどこへ向かっているのか CVE-2007-2852を5ヶ月以上放置しているウイルス対策ソフトからの乗り換え先として一目置いていましたが、これで間違いなく選択肢から外れましたね。以前セキュリティホールの質問を投げてみた(id:jagoon:

トラックバック先の記事の触りの部分は、タイトルと同じです。しかし、怖いのはその後

検索

<前の日記(2007年10月30日) 次の日記(2007年11月03日)> 最新 編集

最近のタイトル

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
<前の日記(2007年10月30日) 次の日記(2007年11月03日)> 最新 編集