既に実害が出ていて利用者が困っているならともかく詳細が明かせないジレンマの中でソニーや事業者が誠実かつ混乱させないように対応するのは本当に大変だったと思う
インプレスはソニーと仲いいのでこういう記事にはなるわなぁ。
この件、共同通信の姿勢を問う記事が多い印象だけど、個人的には情報をリークしたアンノウン・テクノロジーズの方が evil な気がしてならない。
自分は共同通信の記事に反応してしまった側の人間だけど、impressとITmediaは初報から妙に落ち着いてるなとはちょっと感じてた。
“脆弱性の第三者公開について、「いたずらに恐怖を煽ったりすることで不安を与えることや、情報が不正確であったり、対策がセットとなっていないなど不足があるというものはやはり公開するべきではない」”
共同通信は通信社のくせにイデオロギーに傾いた突っ走り報道が多すぎる。
多くのセキュリティ関係の大家が批判的な事からも、今回の件については共同通信側の見解が知りたいな。ソニーに対して批判的な論調なのだし、報道の自由を盾にはせず自戒はすべきだろう
対策済の段階まで秘しておかないと悪用のリスクはあるよなあ。
情報セキュリティの観点からはそうだろうが、情報セキュリティは社会の要素のone of themでより上位に表現の自由と知る権利がある。要はバランスおじさん
“発見者は第三者に開示せず、適切に管理するよう求められているが、第三者である共同通信に開示し、その結果、公開となった。” “本来は公表するタイミングではなかったはず”
「特に回避策も提示されていない…利用者を不安にさせるだけ」この理論だとほとんど隠蔽になるが… /しかも今回は「不安にさせるだけ」ではない、FeliCa技術使用を人々に警戒させる意味があった
報道の問題は結局2017年以前のカードの脆弱性がそれより新しいカード/システムに波及するのか、およびカード自体の読み取りや改竄のリスクをどう評価すべきなのかがよくわからないこと
『今回の発表が問題なのは〜この脆弱性情報を公開した一部のメディア/メディアの責任を果たす報道だったのか/後追い取材をするメディアや、今後他社に先んじようというメディアは、今一度立ち止まる必要がある』
SONY側は「旧方式だけの問題」とプレスを打ち、共同通信側は「旧方式を破れたら新方式の方も割れる」と報道してて。後者視点だと「誤った情報が告知されてるので報道せざる得ない」みたいな論法は成り立ちそうな。
いい記事ダナン
“この報道を見て犯罪者が攻撃を思い立って被害が発生する、という可能性は高くないだろう” 自分もこれは思うので、今回の共同通信はそこまで重大な問題はないかなと思う。まあ共同が区別しているかはさておき
共同通信が「情報セキュリティ早期警戒パートナーシップガイドライン」を無視してFeliCa脆弱性を報道したことについてのメディアモラルを問題視する記事
“共同通信の記事では、発見者がIPAに脆弱性情報を報告したことが記載されており、共同通信は当然このガイドラインの存在を知っていたはずだ。それを無視して公開するほどの強い動機が共同通信にあるのか”
誘拐事件みたいに、安易に早々に報道すればいいっていう話でも無いんだから。
誘拐事件の報道協定みたいなのがあったにも関わらず、それが破られたようなイメージ。
「こうした点も踏まえると、メディアが報じるには、(…)といった条件が必要だろう。」条件決まってないんだ。
“脆弱性情報をIPAに届け出ていながら、共同通信のような一般メディアに開示して報道によって公開されたというのは珍しいだろう。”
ほんそれな。オレオレ警察にすら騙される無知蒙昧な国民を不安にさせて混乱させることが社会の木鐸の役目かよ。あれが正しいとか思ってる人はお願いだからセキュリティのセの字も口にしないで欲しい
タイムスリップ…>「ガイドラインは、2004年7月に整備された脆弱性関連情報の届出制度のガイドライン。経済産業省の告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(2014年7月)に基づいて制定されたもの」
共同通信やリークした人が良くなかったのはあるとして、ソニーは取材を受けた際にガイドラインに沿って対応中だから公表は控えてほしいと伝えるべきだったのでは。伝えた上で無視されたのなら共同通信がevilだが。
攻撃や悪用が確認されていなく、一般的なセキュリティ脆弱性の報告から修正そして公開という手順で進めるべきが、共同通信は知らなかったのかあるいは発見したとされるアンノウンテクノロジーズが暴走した格好なの?
特ダネとかもうやめない?
こうやって新旧メディアが批判しあうのは良いことと思う。願わくば、読売・毎日新聞のように共同通信も批判に対して説明してほしい。どちらが国民の利益になるのか、知る権利に資するのかで競争してほしい。
たしかに「この報道を見て犯罪者が攻撃を思い立って被害が発生する、という可能性は高くないだろう」けど、報道を悪用した詐欺は出るんだよなあ
徳丸さんと辻さん
情報セキュリティ視点ではこの通り。後は特殊詐欺のネタになる方の心配が。速報以上の配信記事掲載や追従取材は限られ、他社は冷静に対応した印象。今回自称詳しい人の中にこの基本を知らない人があぶり出されてるな
不正に残高を書き換えられるとかだったっけ? 不正に書き換えられたのを検出不可能ならビジネス終了だと思うんだがそこはどうなんだろう
IPAが、発見者・報道に対して、対応検討前の公表は攻撃者に利する行為だということを強く言うべき
プロシージャ、手続きの話しかしてない、セキュリティーの人達は空気を読んだ都合のよい解説しかしない。結局、FeliCaのシステム(社員証や入退室管理など)では、対応が必要なのかどうか判断できない。
罰則がないなら意味ないだろ。そんな「みんなで守ろうね❤︎」みたいなもん。
まぬけでかわいそうな共同通信がアンノウンテクノロジーズに使われただけに見える
法的なサンクションは業務妨害罪というかたちで出てくるので、無いわけではない
共同通信側の言い分も聞きたいところではある。
“「情報セキュリティ早期警戒パートナーシップガイドライン」に基づいて7月下旬に情報処理推進機構(IPA)経由でソニーに報告されたようで、指摘を受けたソニーは脆弱性の存在を確認し、その後の対応を行なっていた”
共同通信に求められてるのはこういうスクープじゃないと思うんだよね。他のメディアとは違うんだから。
“不安を煽る報道ガー”とか言われてるけど、戦前の昔から報道って色々と阿ってきたがな。戦争煽ったり、〇〇煽ったり。
報道とは?という話なのでそれが嫌なら週刊誌でもゴシップサイトでも鞍替えすればいい。
Felicaは2012年にはコモンクライテリアEAL6+という最高水準のセキュリティ評価を世界で初めて取得し、卓越した信頼性を実証してきた。この報道はその信頼を棄損し、競争力を挫く意図があったと邪推されてもおかしくない。
office氏事件を知らないからこういうことするんだろうねえ。共同通信はさすがにゴミすぎるんじゃないか。今回は即座に危険でなかったからよかったものの、ゼロデイ攻撃が発生するような類だったら大変な事態だったよな
完全に"アンノウン・テクノロジーズ"の行動が謎すぎ。海外でいえばGoogleやAppleが通報を無視した結果、発見者が自ら公表する事例はあるが、あれですら数か月から半年程度は最低でも待つわけで、流石に今回は異常すぎ。
脆弱性を放置しておいて、勝手にバラすのは許さない論法だけど、何が安全なの? 複製されたら補償しますなんてどこも言ってないよ
Felicaの件ゼロデイした共同通信を叩いてる人マジで一切セキュリティに関わらないで今後の人生を歩んでほしい。
FeliCaの“脆弱性”報道はなにが問題なのか
既に実害が出ていて利用者が困っているならともかく詳細が明かせないジレンマの中でソニーや事業者が誠実かつ混乱させないように対応するのは本当に大変だったと思う
インプレスはソニーと仲いいのでこういう記事にはなるわなぁ。
この件、共同通信の姿勢を問う記事が多い印象だけど、個人的には情報をリークしたアンノウン・テクノロジーズの方が evil な気がしてならない。
自分は共同通信の記事に反応してしまった側の人間だけど、impressとITmediaは初報から妙に落ち着いてるなとはちょっと感じてた。
“脆弱性の第三者公開について、「いたずらに恐怖を煽ったりすることで不安を与えることや、情報が不正確であったり、対策がセットとなっていないなど不足があるというものはやはり公開するべきではない」”
共同通信は通信社のくせにイデオロギーに傾いた突っ走り報道が多すぎる。
多くのセキュリティ関係の大家が批判的な事からも、今回の件については共同通信側の見解が知りたいな。ソニーに対して批判的な論調なのだし、報道の自由を盾にはせず自戒はすべきだろう
対策済の段階まで秘しておかないと悪用のリスクはあるよなあ。
情報セキュリティの観点からはそうだろうが、情報セキュリティは社会の要素のone of themでより上位に表現の自由と知る権利がある。要はバランスおじさん
“発見者は第三者に開示せず、適切に管理するよう求められているが、第三者である共同通信に開示し、その結果、公開となった。” “本来は公表するタイミングではなかったはず”
「特に回避策も提示されていない…利用者を不安にさせるだけ」この理論だとほとんど隠蔽になるが… /しかも今回は「不安にさせるだけ」ではない、FeliCa技術使用を人々に警戒させる意味があった
報道の問題は結局2017年以前のカードの脆弱性がそれより新しいカード/システムに波及するのか、およびカード自体の読み取りや改竄のリスクをどう評価すべきなのかがよくわからないこと
『今回の発表が問題なのは〜この脆弱性情報を公開した一部のメディア/メディアの責任を果たす報道だったのか/後追い取材をするメディアや、今後他社に先んじようというメディアは、今一度立ち止まる必要がある』
SONY側は「旧方式だけの問題」とプレスを打ち、共同通信側は「旧方式を破れたら新方式の方も割れる」と報道してて。後者視点だと「誤った情報が告知されてるので報道せざる得ない」みたいな論法は成り立ちそうな。
いい記事ダナン
“この報道を見て犯罪者が攻撃を思い立って被害が発生する、という可能性は高くないだろう” 自分もこれは思うので、今回の共同通信はそこまで重大な問題はないかなと思う。まあ共同が区別しているかはさておき
共同通信が「情報セキュリティ早期警戒パートナーシップガイドライン」を無視してFeliCa脆弱性を報道したことについてのメディアモラルを問題視する記事
“共同通信の記事では、発見者がIPAに脆弱性情報を報告したことが記載されており、共同通信は当然このガイドラインの存在を知っていたはずだ。それを無視して公開するほどの強い動機が共同通信にあるのか”
誘拐事件みたいに、安易に早々に報道すればいいっていう話でも無いんだから。
誘拐事件の報道協定みたいなのがあったにも関わらず、それが破られたようなイメージ。
「こうした点も踏まえると、メディアが報じるには、(…)といった条件が必要だろう。」条件決まってないんだ。
“脆弱性情報をIPAに届け出ていながら、共同通信のような一般メディアに開示して報道によって公開されたというのは珍しいだろう。”
ほんそれな。オレオレ警察にすら騙される無知蒙昧な国民を不安にさせて混乱させることが社会の木鐸の役目かよ。あれが正しいとか思ってる人はお願いだからセキュリティのセの字も口にしないで欲しい
タイムスリップ…>「ガイドラインは、2004年7月に整備された脆弱性関連情報の届出制度のガイドライン。経済産業省の告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(2014年7月)に基づいて制定されたもの」
共同通信やリークした人が良くなかったのはあるとして、ソニーは取材を受けた際にガイドラインに沿って対応中だから公表は控えてほしいと伝えるべきだったのでは。伝えた上で無視されたのなら共同通信がevilだが。
攻撃や悪用が確認されていなく、一般的なセキュリティ脆弱性の報告から修正そして公開という手順で進めるべきが、共同通信は知らなかったのかあるいは発見したとされるアンノウンテクノロジーズが暴走した格好なの?
特ダネとかもうやめない?
こうやって新旧メディアが批判しあうのは良いことと思う。願わくば、読売・毎日新聞のように共同通信も批判に対して説明してほしい。どちらが国民の利益になるのか、知る権利に資するのかで競争してほしい。
たしかに「この報道を見て犯罪者が攻撃を思い立って被害が発生する、という可能性は高くないだろう」けど、報道を悪用した詐欺は出るんだよなあ
徳丸さんと辻さん
情報セキュリティ視点ではこの通り。後は特殊詐欺のネタになる方の心配が。速報以上の配信記事掲載や追従取材は限られ、他社は冷静に対応した印象。今回自称詳しい人の中にこの基本を知らない人があぶり出されてるな
不正に残高を書き換えられるとかだったっけ? 不正に書き換えられたのを検出不可能ならビジネス終了だと思うんだがそこはどうなんだろう
IPAが、発見者・報道に対して、対応検討前の公表は攻撃者に利する行為だということを強く言うべき
プロシージャ、手続きの話しかしてない、セキュリティーの人達は空気を読んだ都合のよい解説しかしない。結局、FeliCaのシステム(社員証や入退室管理など)では、対応が必要なのかどうか判断できない。
罰則がないなら意味ないだろ。そんな「みんなで守ろうね❤︎」みたいなもん。
まぬけでかわいそうな共同通信がアンノウンテクノロジーズに使われただけに見える
法的なサンクションは業務妨害罪というかたちで出てくるので、無いわけではない
共同通信側の言い分も聞きたいところではある。
“「情報セキュリティ早期警戒パートナーシップガイドライン」に基づいて7月下旬に情報処理推進機構(IPA)経由でソニーに報告されたようで、指摘を受けたソニーは脆弱性の存在を確認し、その後の対応を行なっていた”
共同通信に求められてるのはこういうスクープじゃないと思うんだよね。他のメディアとは違うんだから。
“不安を煽る報道ガー”とか言われてるけど、戦前の昔から報道って色々と阿ってきたがな。戦争煽ったり、〇〇煽ったり。
報道とは?という話なのでそれが嫌なら週刊誌でもゴシップサイトでも鞍替えすればいい。
Felicaは2012年にはコモンクライテリアEAL6+という最高水準のセキュリティ評価を世界で初めて取得し、卓越した信頼性を実証してきた。この報道はその信頼を棄損し、競争力を挫く意図があったと邪推されてもおかしくない。
office氏事件を知らないからこういうことするんだろうねえ。共同通信はさすがにゴミすぎるんじゃないか。今回は即座に危険でなかったからよかったものの、ゼロデイ攻撃が発生するような類だったら大変な事態だったよな
完全に"アンノウン・テクノロジーズ"の行動が謎すぎ。海外でいえばGoogleやAppleが通報を無視した結果、発見者が自ら公表する事例はあるが、あれですら数か月から半年程度は最低でも待つわけで、流石に今回は異常すぎ。
脆弱性を放置しておいて、勝手にバラすのは許さない論法だけど、何が安全なの? 複製されたら補償しますなんてどこも言ってないよ
Felicaの件ゼロデイした共同通信を叩いてる人マジで一切セキュリティに関わらないで今後の人生を歩んでほしい。