一太郎Zero-day攻撃発覚経緯の謎 ――非国民は誰？(高木浩光@自宅の日記)
ははぁ。高木さんのおかげでモヤモヤしてたものが結構すっきりした。
一太郎の脆弱性報告については前から気になっていた。おそらく一次情報源が同じであろうことが想像できることと、そこが常にシマンテック経由であるために他社の対応に遅れが生じていること*1一太郎は政府機関での使用率が高いため、その一次情報源が政府機関じゃないのかという疑義は持っていたが、なるほどこう書かれると傍証が多い。具体的に思い当るところもある。
ただ、普通の政府機関の情報システム管理者はウィルス届出や不正アクセス届出は意識していても、「ウィルスの可能性がある何か」というだけでいきなり脆弱性関連情報取扱基準に準じて扱うという発想は持っていないだろう。ウィルスが次第に脆弱性を突かなくなっている現状ではなおさらだ。内容がexeなどではなくjtdなどであり、かつ妙な挙動を見せる＝脆弱性を突いている疑義がある場合は、まずは脆弱性関連情報取扱基準として扱うべきだというのは確かにそうかも知れないが、多くの情報システム管理者にそれを求めるのは現状ではちょっと酷に感じる。やはりこれは脆弱性だと認識したベンダの責務だというのを徹底するのが筋じゃないだろうか。
国益を考えると「今必要なことは、未知の脆弱性を突いたマルウェアを収集できるよう、届出の仕組みを変えることではないだろうか」というのは同意。現状の体制では無理がある。
さらに思いを巡らせると、最後はどうにも日本にこういうものを扱えるセキュリティベンダが足りないことの不幸を感じる。JADEが生き残ってくれていたらと、今でも残念に思う。もちろんリバースエンジニアリングや脆弱性解析の能力をもつベンダはあることはあるのだけど、ねぇ・・・