Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 40
ストーリー by hylom
備蓄したものが簡単に漏洩しますからね 部門より
備蓄したものが簡単に漏洩しますからね 部門より
headless曰く、
Microsoftのプレジデント兼最高法務責任者のブラッド・スミス氏が、脆弱性情報をベンダーに報告せずサイバー兵器として備蓄する政府を批判し、サイバー攻撃から市民を守るための集団的な対応を呼びかけている(Microsoft On the Issues)。
現在、世界規模で被害が拡大しているランサムウェアWannaCryptは、Shadow Brokerが公開したNSAのエクスプロイトを使用するものだ。また、WikiLeaksも米中央情報局(CIA)の使用するハッキングツールなどをVault 7プロジェクトで次々に公開している。
スミス氏は今回の件を米軍からトマホークミサイルが盗まれたようなものだとし、各国政府は現実世界で兵器に適用されるのと同じルールをサイバー空間にも適用する必要があると主張。各国政府に対し、脆弱性を備蓄してエクスプロイトを使用することによる市民への被害を考慮するよう求めている。各国政府が脆弱性を悪用せずにベンダーへ報告することは、スミス氏が提唱するデジタルジュネーブ条約の項目の一つだ。
今回の件は各国政府だけでなく、すべての人に対する警鐘であり、テクノロジー分野と顧客、各国政府が協力して集団的にサイバー攻撃へ対応する必要があるとスミス氏は主張する。Microsoftではこの警鐘への対応に協力する責任を認識し、役割を果たすとのことだ。
お前が言うな (スコア:0, 荒らし)
トマホーク作ってその辺にころがしといた奴が偉そうに。
Re: (スコア:0)
作ったのはそうかもしれんが
転がしたのはNSAだろ
Re: (スコア:0)
転がってるのを見つけたのがNSAやCIA
Re: (スコア:0)
全くその通りですね
セキュリティホールなどというおぞましいものは邪悪なM$製のソフトウェア以外には一つも存在しません
Re: (スコア:0)
そりゃバグのないソフトを作るのは難しい。
でも、いまどきセキュリティホールは金になるわけだ。
それを教えてくれっていうなら相応の対価を払うのが筋だろう。
「脆弱性を悪用せずにベンダーへ報告」してくれとか、
ずうずうしいにも程がある。
Re: (スコア:0)
一般に対しては対価を与える懸賞金プログラムがある。
それがある上で政府に対しては「市民守るためだから教えてよ」っていうのは納得できるけど。
Re: (スコア:0)
一般向けの話として懸賞金が十分に高いなら良いのかもしれないけれどもね
悪用したほうがカネになるような状況もあるから難しいよね。
MSはどうか知らないけど、脆弱性だと認めさせるのも、相当体力が必要ですし
有耶無耶にされた挙句、パッチを出されちゃうとお金にもならないしね。
政府に対してはどうなんでしょうね。
1件x影響度x売上での罰金的な制度にするとか
保険的に税金的な名目で払っておくとか
Re: (スコア:0)
か、金ならいくらでも出す。
何億いるんだ!
Re: (スコア:0)
政府が自国民を人質にしてるって図式か。
Re: (スコア:0)
ごめん、俺は#3212256に言ってたんだ。
Re: (スコア:0)
つまりiOSとかMacOSとかM$製だったのか・・・ [appps.jp]
政府がやらなくなっても民間企業がやるだけ (スコア:0)
仮に政府がそのような「トマホーク」を持たなくなったとしても、
民間企業は相変わらず「トマホーク」を持ち続けるわけで、
究極的には「それらの企業より高い金を払って脆弱性を買うしかない」という結論になるわけで・・
Re:政府がやらなくなっても民間企業がやるだけ (スコア:1)
トマホークというよりも天然痘ウイルスの方がたとえに近いかも。
Re: (スコア:0)
政府がやると規模が大きく、そして集約され、悪用される場合の危険性が増す
国家間での大規模なサイバー戦争も誘発しかねない
民間がその規模でやろうとするなら名前挙げて批難しても当然って感じになるんじゃないの
Re: (スコア:0)
その民間企業は「トマホークを持ち続け」て何をしようと言うんです?
WannaCryptみたいなのをばらまいてサポート料金せしめるんで?
Re: (スコア:0)
何に使われるのかは知らないが、金を出して買ってくれるのは確か。
そして当社は社会に悪影響を与える用途に使用するのは禁止しているのだから何も問題ない。
悪用された?
当社は社会正義に照らし合わせて厳重に抗議する。
ペナルティとして次回に取引する時は倍額だ。
とかかな?
Re: (スコア:0)
イタリアだったかな。
そんな企業が実際にあって、各国政府などにツールを売りつけてて問題になりましたよね?
顧客リストに自衛隊が入ってたとか入ってなかったとか言われていたような気がします。
Re: (スコア:0)
あったあった、これだったわ
政府に監視ソフトを販売するイタリア企業がハッキング被害に
http://itpro.nikkeibp.co.jp/atcl/news/15/070702251/ [nikkeibp.co.jp]
MSのブログの日本語訳 (スコア:0)
オンラインの安全を守るために求められる協調的なアクション:先週のサイバー攻撃からの学び [microsoft.com]
WannaCryptあんまり関係ないよね (スコア:0)
脆弱性を備蓄すると、いつか大規模な0day起こる(起こりやすくなる)って警鐘なんだろうけど、
過去にNSAが持ってたってだけで現状では修正済みのWannaCryptを引き合いに出されると、それは問題が違うと思う。
Re:WannaCryptあんまり関係ないよね (スコア:1)
これな、みんな薄々気づいてるのに敢えて北朝鮮のせいにしちゃってるけど、実はNSAが既に悪用してたんだよ。
NSAの攻撃ツール EternalBlueとDoublePulsarが盗まれたんだが、既にNSAは諜報活動のために世界各地のターゲットのPCにDoublePulsarを仕掛けてあったんだよ。
これがWannaCryがいきなり世界各地の内部ネットワークで湧いた原因。
ところがハッカー集団Shadow Brokersがそれを盗み出し、行儀の悪いチャチなランサムウェア WannaCryで使っちゃったんだね。
せっかくNSAがこっそりと気づかれないように設置してたバックドアが、この行儀の悪いWannaCryによって被害が一目瞭然になってしまった。
自分たちの悪事が世界中から批判されることを恐れたアメリカ政府は、背後に北朝鮮が暗躍していると嘘の情報を流して誤魔化したんだね。
MSは暗にそれをほのめかしつつ、批判してるわけだよ。
悪用するな、悪用されないように見つけた問題はすぐに教えろと。
ってな妄想を考えてみました。(NSAに刺されないように逃げ。。。)
Re: (スコア:0)
> Shadow Brokerが公開したNSAのエクスプロイトを使用するものだ。
北朝鮮ってどっから出てきたの?
Re: (スコア:0)
Re: (スコア:0)
あちこちで報じられてるけど。
大規模サイバー攻撃、北朝鮮が関与か 過去の犯行とコード類似
http://www.afpbb.com/articles/-/3128317 [afpbb.com]
意訳すると (スコア:0)
MS「おまえらもっとデバッグに協力しろ」
とりあえずMS叩いておけばいいみたいな風潮 (スコア:0)
これって日本人だけなのかね
日本人だけってなら、ゲームなんかで「日本人はアレだから」って疎外されるようになったのも納得
Re: (スコア:0)
「とりあえず最大手を叩いておけば正義!」というのが、多数派ではないと思いますよ
もしそれが多数派なら、自民党は政権追われているでしょう
Re: (スコア:0)
「正義が大好き」な人は多いと思うけれど、正義のテンプレートに「巨悪に抵抗するレジスタンス」を当てはめる人が多いんだね。
だからスターウォーズでも帝国に抵抗する反乱軍が正義という扱いになっている。
MSもしばしば悪の帝国に例えられて、それに対抗する競合が正義みたいに扱われやすかった。
ただ、アメリカなんかにおいてはAOLやORACLEみたいに、MSよりも悪の帝国に見合った会社があったから、日本ほどではないのよ。
それに日本の国民性として、悪の帝国でも自分がそれに属していて利を得ている場合は、レジスタンスに対してかなり非情になるというところもある。
ま、これは日本人だけじゃなくてアメリカだってアメリカに抵抗するレジスタンスのことをテロリストと呼んで虐殺したりするんだけどね。
Re: (スコア:0)
いや、そんなに多くないと思う
少なくとも昔からPCを使っている人からSoftBankは嫌われてたし
Re: (スコア:0)
Not even justice,I want to get truth
Re: (スコア:0)
じゃあ新機能開発速度とユーザーフレンドリー度をOpenBSD並みに落とすのが望ましいかというと、それも違うだろう。
セキュリティなんてのは常に妥協の産物。
Re: (スコア:0)
MSは脆弱性に対する懸賞金プログラムを続けてるけどこれは無視?
http://www.itmedia.co.jp/enterprise/articles/1508/06/news055.html [itmedia.co.jp]
Re: (スコア:0)
>少しはOpenBSDの手口学んだら?
既に2003年からやっているよ。
やってみてOpenBSDみたいなレアな存在なら有効な手法だが、Windowsの様に社会的に重要な部分でメジャーな存在になると一企業の努力では限界があるとMicrosoft自身認めている。
某民〇党と同じだが「批判する前に勉強したら?」この言葉を贈りたい。
Re: (スコア:0)
あなた何言ってんの?
MSをディスればプラスモデが得られる時代は終わってるよ。
言ってることめちゃくちゃだし。
Re: (スコア:0)
> MSをディスればプラスモデが得られる時代は終わってるよ。
言いがかりはやめてください。
OpenBSDは360度全方位ディスるんです。
Win, MacOS, Linux, FreeBSD、全て平等に価値がない。
Re: (スコア:0)
OpenBSDに価値がないことを自覚してるからまわりにかみつくんだろうなぁ
Re: (スコア:0)
元コメの稚拙さはともかくとして
ユーザとしては、すべての方向に噛み付くのが正解のはずなんですけどね。
お金払っているものは特に。
信者なのか社員なのかわからないようなコメントとかは消えて
Re: (スコア:0)
> わけわからんテレメトリ仕込んだり
ニッチさんなにやってんですかこんなところで
Re: (スコア:0)
脆弱性についてはMSは積極的にやってる方だと思うけど
他所のライブラリの脆弱性修正でもMicrosoftResearchの名前があってこんなライブラリも見てるんだなって関心するし