高木浩光＠自宅の日記 - 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰？

■ 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰？ 目次 一太郎zero-day攻撃発覚経緯の謎 Symantecは脆弱性分析のプロではない 日本人Symantec社員は非日本国民か 非国民は誰？ ジャストシステム社も経済産業省告示を無視？ 現行の届出制度はzero-day攻撃に対応していない 一太郎zero-day攻撃発覚経緯の謎 先週こんな報道があった。 一太郎の脆弱性を狙う新たな攻撃、集中的に狙われているとSymantecが警告, INTERNET Watch, 2007年12月14日 またか。 「また一太郎か」という意味ではなく、「また Symantec か」という意味でだ。 一太郎関連製品のバッファオーバーフロー系の脆弱性はこれまでに8回見つかっており、うち3回は、攻撃に悪用される前にIPAとJPCERT/CCを通じて事前に修正されたもの（JVN#90815371,

[itochan]

ウイルス対策会社は脆弱性を発見し、分析をメーカーにつっ返した。メーカーは分析し情報を隠した。どちらも国に報告しない。　さらに日経記者も技術報道を間違えた。　泣くのは日本人ユーザー全体（消費者）。

[F-SQUARE]

日本特有のマルウェアも増えてるようだし国産のセキュリティソフトがあればそれなりにシェア取れそうだね

[bunoum]

自衛隊の情報戦部隊とかはないんですかね。つこうた以外で。

[ardarim]

言いたいことはもっともなのだが「同じ組織ないし人物が提供しているのなら」という前提が最後まで推測のままなので論証的とは言いがたいか。

[georgew]

「非国民」とかほざいているが、マルウエア問題に関してこれほどまでに「国」という枠組に拘泥する必要あるのか??

[mi1kman]

日本人Symantec社員は守秘義務があってしゃべれないのかも/確かに＞「現行の届出制度はzero-day攻撃に対応していない」/国でマルウェア解析をやるのは昨今の状況を踏まえると良いアイデアだと思う

[memoclip]

これは国防の問題と捉えた方が良いらしい。誰がどの組織に対して、何の情報を取得しようとしての行為なのか。

[takunama]

"彼ら (Symantec) は脆弱性分析のプロではないからだ。彼らは、個々のマルウェアの挙動を分析するリバースエンジニアリングのプロフェッショナルではあるが、脆弱性の影響範囲を評価するプロではない。"

[KoshianX]

「お仕事」的にはさほど間違った印象も受けないかなー。そりゃなんとかしてくれる方に届けるよな。つまりは法律かなんかの縛りが必要かな。ウィルス対策企業が外資ばっかなのはなんでなんだろね

[westerndog]

「脆弱性の発見者である Symantecは、IPAに脆弱性情報を届けていないと推定される」

[sankaseki]

[!GTD::資料(いつか読む)]高木浩光＠自宅の日記 - 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰？, 明後日、「SecurityDay2007」でパネル討論

[TAKESAKO]

また○○○か

[rna]

「Symantec…は脆弱性分析のプロではないからだ。彼らは、個々のマルウェアの挙動を分析するリバースエンジニアリングのプロフェッショナルではあるが、脆弱性の影響範囲を評価するプロではない。」

[napsucks]

一太郎＝日本政府御用達を逆手に取ったtargetted attackの有効性

[nirvash]

彼らのビジネスにとって脆弱性分析は必要ではない

[ockeghem]

『またか。「また一太郎か」という意味ではなく、「また Symantec か」という意味でだ』

[wisboot]

未知の脆弱性に対処するために政府内にマルウェア解析能力を持つ組織を立ち上げるべき、という話／確かに国内でしか流通しないソフトに脆弱性がある現状では自国で分析する専門の組織を置くのが妥当と思える