FACTA誌掲載の『上場企業5割に「サイバー脆弱性」』という記事について
本日発売の経済誌FACTAに、スプラウトが行った上場企業100社のサイバー脆弱性調査が掲載されました。 【上場企業5割に「サイバー脆弱性」】 facta.co.jp/article/201411…
2014-10-20 15:12:33これに対して高木氏が次のように質問を投げかけています。しかし当該アカウントからの回答はないようです(Twitter上では)
.@sprout_group こんにちわ〜o(^^)o 東証一部上場100社に無断脆弱性検査、すごいですね\(^o^)/ 「危険度 高 脆弱性の種類 SQLインジェクション」のテストは不正アクセス禁止法に抵触しない方法で行なえたのですか(・_・)?
2014-10-20 22:46:19今回の件に関して、辻氏は以下のように述べられています。
本誌を読んだのですが脆弱性がある旨、連絡したところ応答のなかった企業があったとの記述があったので無断で診断を行った可能性が高いですね。脆弱性の診断手法は明示されていないので合法か違法かというところは判断することができません。(続く bit.ly/1DH8zml
2014-10-24 17:57:57続き)診断手法の中には実際の攻撃を行って許可を得ていない場合違法となるようなものもありますが、対象の挙動をチェックしてこのパターンに対してこの反応であれば脆弱性アリと判断してもいいだろうというようなものもあります。(続く
2014-10-24 17:58:10続き)そのような場合は実際の攻撃を行った場合には通用しないという可能性を残したままになるわけですが、実際の被害を与えない。診断時間に制限がある。などの理由から可能性までで止めておくということを事前にお客様と合意を取ることもあります。(続く
2014-10-24 17:58:17続き)今回の記事にあるような診断は、バグハントとどう違うのか?といったような考えもあるかと思います。バグハントでも無許可(もしくはバウンティプログラム、受付窓口がないなど)で行う場合もありますのでアクションという意味では境目が難しいケースもあるのではないかと思います。(続く
2014-10-24 17:58:23続き)このあたりは倫理観やスタンスに関係するところかと思うのですが、発見(可能性を含む)した場合にそれを広く知らしめることを行う必要性があるのか否かということは意見の分かれるところだと思います。(続く
2014-10-24 17:58:31続き)広く知らしめる場合でも直ぐに公開する方もいれば、対象の組織にのみ知らせたが対応されないのでその手のメーリングリストで公開し、対策をせざるをえなくするという行動に出る方もいらっしゃるかと思います。(続く
2014-10-24 17:58:37続き)日本ではIPAの「脆弱性関連情報の届出」を利用する方もいらっしゃることでしょう。この記事の本当の意図するところは分かりませんが、ボク個人としてはこのようなことは行うべきではないと思っています。(続く
2014-10-24 17:58:44続き)本誌ではセキュリティ診断の必要性をうたっていました。仮に法的に問題がなかったとしてもセキュリティ診断の必要性をうたうために対策が行われていない企業名を名指しした上で公表する必要を感じないからです。(続く
2014-10-24 17:58:50続き)ボクの尊敬するエンジニアの言葉を借りると「医者が患者の健康を思って薬を飲まなければ死ぬ。と大げさ言うのはいいが薬を売りつけるためだけであってはならない」ということだと思います。(終り
2014-10-24 17:58:57