このご時世に情報統制なんて無理なんだから諦めろとしか……。
誘拐事件の報道協定のようなものと考えたらおかしな話ではないと思える
「8月28日に共同通信が報じた「FeliCa」の事例が念頭にあるとみられる」
つまり報道協定ってことだよね。そのような配慮とか自己規制をマスコミに求めるのは報道協定ほどの理由がないと筋違い、今回みたいな事例はタレこんだ側が悪いと思うよ。
無理よ。悪人の速度の方が早いのに。
守らないやつは守らないけど、理念を理解して守ってくれる人を増やすのなら、こういうムーブは続けるべきだよね
企業が脆弱性情報をこういう感じのことを言い訳にして不適切に陰蔽するのを何度も内部で見たことがあります。ゼロデイする人をむしろ内部告発者として保護する枠組が必要なのではと思ってます。
勝手に開示したことで損害が発生したら損害賠償の可能性あるしわりと危険
ちゃんと共同通信名指しで注意したほうがええんちゃうの
脆弱性報告フローに乗って報告されたゼロデイを勝手に公開は無責任すぎる。一方で脆弱性を放置して市民が知らずに危険にさらされるのもおかしい。報告から3ヶ月で強制公開とかがバランスいいのだろうか。
↓ssig33氏こと小池陸氏、講談社系企業及びユビレジに努めていらっしゃることをFacebookで公表している立場で内部で見たことがあるとは、勇気ある告発に感服した。 今すぐIPAに通報して。無視されたら公表しましょう。
ゼロデイ対策のためのガイドラインに則った行動を促す態度を情報統制とか言っちゃう知性が存在するのか
“FeliCaの件では、IPAやソニーが脆弱性に関する情報を公開していなかったにも関わらず、脆弱性の発見者に取材した報道機関が大々的に報じた。発見者は7月に脆弱性について報告していた。”
それはそう
共同通信が社会混乱を企てる反社企業であることが国に認められちゃったね
公益通報制度みたいに法律を作った方が良いんじゃないかと。まあ例に挙げた法律は現在ガン無視されているが、一応は裁判に持ち込めると言うのは一定の知識レベルの層には抑止力になるだろう。
実際共同がウキウキで吹聴したほどたいした危険がなかったから何もなしで済んでるけどちゃんと怒られろ
関連機関や監督官庁のどこかは、共同通信に苦情なりお叱りなりしてるのだろうか。
脆弱性は修正パッチ作ってから公開する場合が多いから、まぁクギを刺されてもしかたない。相手方は意味分からんで終わりそうだが
こういうことすると脆弱性報告・開示から対応までが遅れて、ゼロデイ攻撃の被害が増えるんだよ
脆弱性情報の報告開示プロセスはISO/IEC 29147:2018で標準化されているしIPAのガイドラインも当然整合してる。グローバルに認められた標準を無視して稀な例外を盾に否定する人って標準医療を無視して代替医療選んでそう
この制度に守られている側の人がほとんどなのに、何故か制度を否定する人がいるのが不思議。相当数の届出があるし、知らないうちに助かってる人も多いと思う。
“このガイドラインでは、発見された脆弱性情報は関係者の間のみで管理され、検証と対策実施が済んでから公表する手順になっている。脆弱性が悪用される可能性を低減させるための措置だ。”それな!
ちゃんと叱られが発生したのか
墜落する直前まで乗客は何も知らされませんって言ってるようなもん。
今回の開示と報道は、大衆にFeliCaを使わない可能性を与えた。攻撃の被害を受けたくない人は避ける行動を取れたのだ。また今回の報道で攻撃者が増える可能性は低かった。
その気になればSONYが訴訟しても勝てるような内容なんだよなぁ。先に告知して対応しないなら記事を出すとかを宣言してたのならまだしも、馬鹿みたいに垂れ流しただけだしな。
経産省とかIPAとかが共同通信に対して激おこな件
眠い
要するに発見者がやらかしてる。報道機関も怒られて
> 今回の声明は、経産省、国家サイバー統括室、情報処理推進機構(IPA)、JPCERTコーディネーションセンター(JPCERT/CC)の4者連名で公表された
脆弱性情報のハンドリングルールを守らず共同通信にベラベラ漏らしたのは身勝手で自己顕示欲の固まりとしか思えない。情報処理安全確保支援士には相応しくない。取り消しで良いのではないか。
進捗無視の一方的なゼロデイって私刑で破壊で自慰で売名なんだなと、保護とか頓狂なこと言う人を見てるとよくわかる。脆弱性を企業犯罪に擬えたり、技術者殺しの素人司法とも通底する。20年前から進化できてない。
毎回書いてるけど office 氏逮捕事件を受けてああいう脆弱性公表者を保護するために作られたルールがこれだからねえ。順当に進んでる事案に対してこれはないわな。既に悪用が動き始めてて警告が必要な段階ならともかく
以前GoogleがMS製品の脆弱性を「通報から半年たったから公開するね~」って対応終わってない段階で大々的に公表したことがあったな。
結構大事になっていますね>『今回の声明は、経産省、国家サイバー統括室、情報処理推進機構(IPA)、JPCERTコーディネーションセンター(JPCERT/CC)の4者連名で公表された』
ルールまもらないで勝手に開示する人を擁護する人ってもしかしたら技術力はあるのかもしれないけど、社会人としては幼稚という印象になるな
本気で思ってるなら法的枠組みにするべきだよ。倫理観に期待するべきではない
「そこの角の家の勝手口の鍵壊れてるわよ!」って近所に言いふらさずに、そこの家主さんに言って鍵直すまで待てって話なんですが
『しかしFeliCaの件では、IPAやソニーが脆弱性に関する情報を公開していなかったにも関わらず、脆弱性の発見者に取材した報道機関が大々的に報じた。』
タレこんだ側が批判されるのは分かるが、報道機関に「報道するな」はまあまあ危ない橋だと思うのだけど。普段「マスゴミの報道しない自由」なんて叩いてるわけで。強制力持たせたければ法制化するしかないのでは
初期の記事にアンノウン・テクノロジーズ社が発見とあるから漏らしたのここだよね。セキュリティ企業として信用を損なう行為でしか無いと思うけど何やってるんだ?
どっかしらで名指しでお怒りしとけよ
ゼロデイ攻撃を減らすための取り決めとして対策取るための猶予期間はあって然るべきところなのでわかる面と、とは言え報道する自由もあるだろうから、結論素人にセキュリティ語らせるとろくなことないな、と。
この記事をおすすめしました
懸賞金もないような企業の脆弱性なんてそのガイドラインに従うインセンティブあるか?これをやられたくないから外資は高額な懸賞金をかけていると理解してる
ネットで勝手に開示すると注目されて自己顕示欲満たせるからしょうがない
脆弱性情報、勝手に開示しないで 経産省などがクギを刺す FeliCaの事例念頭か
このご時世に情報統制なんて無理なんだから諦めろとしか……。
誘拐事件の報道協定のようなものと考えたらおかしな話ではないと思える
「8月28日に共同通信が報じた「FeliCa」の事例が念頭にあるとみられる」
つまり報道協定ってことだよね。そのような配慮とか自己規制をマスコミに求めるのは報道協定ほどの理由がないと筋違い、今回みたいな事例はタレこんだ側が悪いと思うよ。
無理よ。悪人の速度の方が早いのに。
守らないやつは守らないけど、理念を理解して守ってくれる人を増やすのなら、こういうムーブは続けるべきだよね
企業が脆弱性情報をこういう感じのことを言い訳にして不適切に陰蔽するのを何度も内部で見たことがあります。ゼロデイする人をむしろ内部告発者として保護する枠組が必要なのではと思ってます。
勝手に開示したことで損害が発生したら損害賠償の可能性あるしわりと危険
ちゃんと共同通信名指しで注意したほうがええんちゃうの
脆弱性報告フローに乗って報告されたゼロデイを勝手に公開は無責任すぎる。一方で脆弱性を放置して市民が知らずに危険にさらされるのもおかしい。報告から3ヶ月で強制公開とかがバランスいいのだろうか。
↓ssig33氏こと小池陸氏、講談社系企業及びユビレジに努めていらっしゃることをFacebookで公表している立場で内部で見たことがあるとは、勇気ある告発に感服した。 今すぐIPAに通報して。無視されたら公表しましょう。
ゼロデイ対策のためのガイドラインに則った行動を促す態度を情報統制とか言っちゃう知性が存在するのか
“FeliCaの件では、IPAやソニーが脆弱性に関する情報を公開していなかったにも関わらず、脆弱性の発見者に取材した報道機関が大々的に報じた。発見者は7月に脆弱性について報告していた。”
それはそう
共同通信が社会混乱を企てる反社企業であることが国に認められちゃったね
公益通報制度みたいに法律を作った方が良いんじゃないかと。まあ例に挙げた法律は現在ガン無視されているが、一応は裁判に持ち込めると言うのは一定の知識レベルの層には抑止力になるだろう。
実際共同がウキウキで吹聴したほどたいした危険がなかったから何もなしで済んでるけどちゃんと怒られろ
関連機関や監督官庁のどこかは、共同通信に苦情なりお叱りなりしてるのだろうか。
脆弱性は修正パッチ作ってから公開する場合が多いから、まぁクギを刺されてもしかたない。相手方は意味分からんで終わりそうだが
こういうことすると脆弱性報告・開示から対応までが遅れて、ゼロデイ攻撃の被害が増えるんだよ
脆弱性情報の報告開示プロセスはISO/IEC 29147:2018で標準化されているしIPAのガイドラインも当然整合してる。グローバルに認められた標準を無視して稀な例外を盾に否定する人って標準医療を無視して代替医療選んでそう
この制度に守られている側の人がほとんどなのに、何故か制度を否定する人がいるのが不思議。相当数の届出があるし、知らないうちに助かってる人も多いと思う。
“このガイドラインでは、発見された脆弱性情報は関係者の間のみで管理され、検証と対策実施が済んでから公表する手順になっている。脆弱性が悪用される可能性を低減させるための措置だ。”それな!
ちゃんと叱られが発生したのか
墜落する直前まで乗客は何も知らされませんって言ってるようなもん。
今回の開示と報道は、大衆にFeliCaを使わない可能性を与えた。攻撃の被害を受けたくない人は避ける行動を取れたのだ。また今回の報道で攻撃者が増える可能性は低かった。
その気になればSONYが訴訟しても勝てるような内容なんだよなぁ。先に告知して対応しないなら記事を出すとかを宣言してたのならまだしも、馬鹿みたいに垂れ流しただけだしな。
経産省とかIPAとかが共同通信に対して激おこな件
眠い
要するに発見者がやらかしてる。報道機関も怒られて
> 今回の声明は、経産省、国家サイバー統括室、情報処理推進機構(IPA)、JPCERTコーディネーションセンター(JPCERT/CC)の4者連名で公表された
脆弱性情報のハンドリングルールを守らず共同通信にベラベラ漏らしたのは身勝手で自己顕示欲の固まりとしか思えない。情報処理安全確保支援士には相応しくない。取り消しで良いのではないか。
進捗無視の一方的なゼロデイって私刑で破壊で自慰で売名なんだなと、保護とか頓狂なこと言う人を見てるとよくわかる。脆弱性を企業犯罪に擬えたり、技術者殺しの素人司法とも通底する。20年前から進化できてない。
毎回書いてるけど office 氏逮捕事件を受けてああいう脆弱性公表者を保護するために作られたルールがこれだからねえ。順当に進んでる事案に対してこれはないわな。既に悪用が動き始めてて警告が必要な段階ならともかく
以前GoogleがMS製品の脆弱性を「通報から半年たったから公開するね~」って対応終わってない段階で大々的に公表したことがあったな。
結構大事になっていますね>『今回の声明は、経産省、国家サイバー統括室、情報処理推進機構(IPA)、JPCERTコーディネーションセンター(JPCERT/CC)の4者連名で公表された』
ルールまもらないで勝手に開示する人を擁護する人ってもしかしたら技術力はあるのかもしれないけど、社会人としては幼稚という印象になるな
本気で思ってるなら法的枠組みにするべきだよ。倫理観に期待するべきではない
「そこの角の家の勝手口の鍵壊れてるわよ!」って近所に言いふらさずに、そこの家主さんに言って鍵直すまで待てって話なんですが
『しかしFeliCaの件では、IPAやソニーが脆弱性に関する情報を公開していなかったにも関わらず、脆弱性の発見者に取材した報道機関が大々的に報じた。』
タレこんだ側が批判されるのは分かるが、報道機関に「報道するな」はまあまあ危ない橋だと思うのだけど。普段「マスゴミの報道しない自由」なんて叩いてるわけで。強制力持たせたければ法制化するしかないのでは
初期の記事にアンノウン・テクノロジーズ社が発見とあるから漏らしたのここだよね。セキュリティ企業として信用を損なう行為でしか無いと思うけど何やってるんだ?
どっかしらで名指しでお怒りしとけよ
ゼロデイ攻撃を減らすための取り決めとして対策取るための猶予期間はあって然るべきところなのでわかる面と、とは言え報道する自由もあるだろうから、結論素人にセキュリティ語らせるとろくなことないな、と。
この記事をおすすめしました
懸賞金もないような企業の脆弱性なんてそのガイドラインに従うインセンティブあるか?これをやられたくないから外資は高額な懸賞金をかけていると理解してる
ネットで勝手に開示すると注目されて自己顕示欲満たせるからしょうがない