2007年10月31日
■ ジャストシステムはどこへ向かっているのか
ジャストシステムが、ユーザの安全確保よりも、何らかの別の目標*1に向かっているらしいことは、次の事例で一目瞭然だろう。
こんな言い回しは他で見たことがない。
脆弱性情報を公表することの目的が、まだ修正版の存在を知らされていないユーザに対してアップデートの必要性を周知することにあるということは、(ユーザの立場で考えれば)誰でもわかるはずだ。それなのに、ジャストシステムは、まず先に、「ご安心ください」と言う。(図1の1つめの矢印部分。)
Kaspersky Internet Security 6.0 および Kaspersky Anti-Virus 6.0のVista対応版プログラム以前の製品(バージョン 6.0.0.306)で5つの脆弱性が発見されています。この問題に対する修正は、3月14日より無償でダウンロード提供しているVista対応版プログラム(バージョン 6.0.2.614)ですでに改修されておりますのでご安心ください。
※Windows XP/2000でお使いの方が対象となります。
※現在ダウンロード、および、店頭で販売している製品は、すでにVista対応のプログラムとなっておりますので、プログラムを入れ替えていただく必要はありません。すでに改修されているKasperskyの脆弱性について, ジャストシステム, 2007年4月6日
当然、3月14日より前にインストールしてそのままのユーザがいるわけで、「ご安心ください」で済む話ではない。
ジャストシステムは、脆弱性のあるバージョンをまだ使用していると思われるユーザに対して、それに続く後半部分でやっと次のように言っている。(図の2つ目の矢印部分。)
まだVista対応版を入れていただいていない方は、ご面倒をおかけして申し訳ございませんが、速やかにVista対応版に入れ替えてくださいますようお願いいたします。 なお、プログラムの入れ替えが必要かどうかについては、お使いのプログラムのバージョン情報をご確認ください。
すでに改修されているKasperskyの脆弱性について, ジャストシステム, 2007年4月6日
先に言うべきことはこっちだ。
長文を読むのが苦手な一般の人たちが、上から順に目を通して、「ご安心ください」だの、「プログラムを入れ替えていただく必要はありません」という文字を見たら、どういう行動をとるか。
ジャストシステムがガス製品を販売したら死人が出るだろう。
こういった悪い社告の例については、経済産業省の「消費生活用製品のリコールハンドブック」にも書かれている。
良い社告の例が図3にあるように、読者は何をすればいいのか、自分は該当するのかが、すぐに確認できるように書かれているべきだ。
コンピュータソフトウェアのセキュリティ脆弱性のケースでは、これに加えて、どのくらいの危険度があって、回避策はあるかを示すことが重要となる。なぜなら、「危険度が小さければパッチを適用しない」という判断をする人たちがいるからだ。
このことは、IPAの「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」に書かれている。
- 「脆弱性情報はこう公表しよう」、IPAがマニュアルを公開, ITmediaエンタープライズ, 2007年5月30日
- 「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」などを公開, 情報処理推進機構, 2007年5月30日
ジャストシステムの広報IR室長(NHKニュースで話していた人)はこれらに関心がないのだろう。
ここで気づいたのだが、今回の一太郎の脆弱性のJVNで、「ベンダ情報」の部分が図4のようになっているのが、普通と違う。
普通ならば図5のようになっているはずだ。
外国の会社がジャストシステム(図4)のようになっているのはよく見かけるが、国内の大手企業で、しかも国内からIPAに届出られてJPCERT/CC経由で調整されたものなのだから、ここは図5のようになっていても不思議でない。
この違いはどうしたことだろう? よくわからない。
それから、「Kaspersky 脆弱性」で検索してみたら、こんな記事が見つかった。上の「すでに改修されている脆弱性」(4月の件)とは別の脆弱性のようだ。
- Kasperskyの無償オンラインスキャナに脆弱性、修正版を公開, INTERNET Watch, 2007年9月11日
Kaspersky Labでは、すべてのKaspersky Online Scannerのユーザーに対して新バージョンのインストールを求めている。なお、同ツールは、Kaspersky Labs Japanのサイトや、ジャストシステムが開設しているKaspersky製品の情報サイトにおいて日本語版サービスが提供されているが、それらは日本時間の11日夕方時点ではまだ最新バージョンに移行していない模様だ。最新バージョンにするには、いったん英語サイトにアクセスしてアップデートする必要がある。
この件についての告知が、「JUST Kaspersky」のサイトに見当たらない。
なぜ告知しないのだろう? 告知しなくてもアップデートしてくれると思っているのだろうか?
*1 たとえば、サポートセンターへの問い合わせ件数を最小化することが、広報部門の業績評価尺度となっている場合などには、このような事態に陥りそうな気がする。
高木浩光@自宅の日記 - ジャストシステムはどこへ向かっているのか CVE-2007-2852を5ヶ月以上放置しているウイルス対策ソフトからの乗り換え先として一目置いていましたが、これで間違いなく選択肢から外れましたね。以前セキュリティホールの質問を投げてみた(id:jagoon:
トラックバック先の記事の触りの部分は、タイトルと同じです。しかし、怖いのはその後
- はてなブックマークコメント ×38 : 30, 3, 2, 2, 1 (2023-04-04)
- ココログ [stressfulangel cocolog] ×28 : 24, 2, 1, 1 (2023-01-31)
- ココログ [dds air] ×7 : 3, 3, 1 (2022-12-16)
- http://www.google.co.jp ×4 (2020-08-21)
- スラッシュドットarticle [07/11/01/060220] ×679 : 268, 252, 145, 3, 3, 3, 2, 1, 1, 1 (2014-02-12)
- スラッシュドットcomments [378972] ×319 : 111, 50, 31, 14, 13, 11, 9, 9, 9, 8, 5, 5, 5, 4, 3, 3, 3, 2, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2012-03-14)
- スラッシュドットarticle [08/10/30/0738255] ×840 : 412, 349, 77, 2 (2011-10-23)
- スラッシュドットcomments [424684] ×142 : 64, 14, 7, 7, 6, 4, 4, 4, 4, 3, 3, 3, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2011-03-25)
- スラッシュドット ×3 : 2, 1 (2010-06-08)
- http://openblog.meblog.biz/article/1385928.html ×72 (2009-01-27)
- 2ちゃんねる掲示板 [newsplus 1231130525] ×12 : 4, 3, 3, 1, 1 (2009-01-05)
- 2ちゃんねる掲示板 [newsplus 1231095111] ×3 : 2, 1 (2009-01-05)
- http://koz.269g.net/article/6863937.html ×7 (2008-04-13)
- ココログ [kjunichi cocolog] ×4 (2008-04-09)
- http://com2net.biz/discovery/discovery.htm ×5 (2008-03-21)
- はてなダイアリー [jagoon] ×8 : 6, 1, 1 (2008-01-27)
- http://blog.fuktommy.com/1201331090 ×17 (2008-01-26)
- http://koz.269g.net/category/366931.html ×10 (2007-12-10)
- ココログ [youichi-kato cocolog] ×35 : 33, 1, 1 (2007-11-24)
- http://techwiki.itfor.local/wiki/ ×5 (2007-11-06)
- http://www.kt.rim.or.jp/~kbk/zakkicho/07/zakkicho0711a.html ×5 (2007-11-06)
- mixi diary [77516] ×14 (2007-11-05)
- http://gwd.no-ip.com/~cac/diary/ ×4 (2007-11-04)
- http://www.13hz.jp/2007/11/it_7a81_1.html ×11 (2007-11-03)
- fc2 blog [kyounoare.blog117] ×2 : 1, 1 (2007-11-03)
- http://www.jitu.org/~tko/cgi-bin/bakanoemono.rb ×11 (2007-11-02)
- ココログ [wktm moe] ×4 (2007-11-02)
- http://www.13hz.jp/2007/10/post_f14c.html ×4 (2007-11-02)
- はてなダイアリー [comiken] ×7 (2007-11-02)
- ime.nu /20071031.html ×140 (2007-11-02)
- http://blog.so-net.ne.jp/asthenosphere/2007-11-01 ×15 (2007-11-02)
- http://pasokoma.jp/etc/?mode=one&namber=4689&type=4686&space... ×4 (2007-11-02)
- Yahoo!ブックマーク [action] ×4 (2007-11-02)
- はてなダイアリー [jagoon 20071101] ×12 (2007-11-01)
- http://pasokoma.jp/etc/?mode=all&namber=4686&type=0&space=0&... ×15 (2007-11-01)
- http://www2.big.or.jp/~iki-iki/modules/wordpress1/ ×4 (2007-11-01)
- http://www.kt.rim.or.jp/~kbk/zakkicho/index.html ×8 (2007-11-01)
- http://kuro.nobody.jp/info/ols.info1.html ×4 (2007-11-01)
- セキュリティホールmemo ×2302 : 2047, 141, 60, 29, 20, 5 (2007-11-01)
- http://api.pathtraq.com/sidebar ×8 (2007-11-01)
- ジャストシステム ×137 / キーワード不明 ×38 / ジャストシステム 脆弱性 ×14 / 高木 ジャストシステム ×11 / ジャストシステムはどこへ向かっているのか ×7 / ジャストシステム 高木 ×7 / ジャストシステム 広報 ×5 / ジャストシステム 業績 ×5 / ジャストシステム サポートセンター ×5 / NHK ジャストシステム ×4 / 高木浩光 ジャストシステム ×4 / -hiromitsu.jp ×3 / ジャストシステム IR ×3 / ジャストシステム 日記 ×3 / 高木浩光 カスペルスキー ×2 / ジャストシステム どこへ ×2 / 高木 カスペルスキー ×2 / ジャストシステム IR ×2 / ジャストシシテム 日記 ×2 / ジャストシステム 高木浩光 ×2 / Kaspersky Labs Japan ジャストシステム ×2 / ジャストシステム NHK ×2