「狼が来たよー!」「脆弱性があるよー!」(苦笑)
無かったものをあるように言った場合は、当人の悪意の有無は問題無く「嘘つき」になる脆弱性風説流布記事掲載と、その後の対応に見る企業態度の差のお話やっちゃったねぇ。各IT系ニュースメディア。これで「スクープ(と直感だけで判断したもの)を騒ぎ立てればいい」ってもんでも無いって反省して欲しい。一昨日、2月8日、国際化ドメイン名(IDN)のフィッシング詐欺脆弱性(んなもの可能性から言っちゃえば限りなく無に等しい)について、各IT系メディアはデンマークのセキュリティベンダーSecuniaの発表としながらも、記事内では声高に「ブラウザの脆弱性」と報じた。「国際化ドメイン名処理に起因する表示偽装の脆弱性、OperaやFirefoxなどに影響」http://www.itmedia.co.jp/enterprise/articles/0502/08/news028.html>MozillaやFirefox、Opera、Safariなど複数のWebブラウザに、アドレスバーなどの偽造につながる問題が存在する。(ITmediaエンタープライズ)「国際化ドメイン名がフィッシングに悪用される問題~Secuniaなどが指摘」http://internet.watch.impress.co.jp/cda/news/2005/02/08/6392.html>Firefox、Opera、SafariなどIE以外の主要ブラウザでURLの“偽装”が可能(Internet Watch)「FirefoxやSafariなどでフィッシング詐欺につながる問題点発覚」http://japan.cnet.com/news/sec/story/0,2000050480,20080552,00.htm>Microsoft以外のブラウザ上でウェブサイトの偽装が可能になると、ある研究者が注意を呼びかけた。>この問題の影響を受けるのはOpera、Apple ComputerのSafari、Mozilla FoundationのMozillaおよびFirefoxの各ブラウザ(CNET Japan)「FirefoxやMozillaなどにアドレス・バーや証明書の表示を偽装される脆弱性」http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050208/155885/>MozillaやFirefox,Operaといった複数のブラウザに見つかったセキュリティ・ホールを公表した。悪用すると,アドレス・バー/ステータス・バーやデジタル証明書などに表示されるURLを偽装できる。このほか,CaminoやSafari, OmniWeb,Konqueror,Netscapeにも同様のセキュリティ・ホールが確認されている。>いずれのブラウザについても,パッチや修正版は公開されていない。(IT Pro)「Mozilla/Firefox/Operaなどに国際化ドメイン名の盲点をついたURL偽装の問題」http://www.forest.impress.co.jp/article/2005/02/08/misuseidn.html>Mozilla/Firefox/Opera/NetscapeといったIE以外の主要Webブラウザーに、国際化ドメイン名(以下、IDN)の盲点をついたURL偽装の問題が存在することを公表した。(窓の杜)続く9日「デンマークのSecunia,「Mozilla」と「Firefox」のセキュリティ・ホールを相次いで報告」http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20050209/155917/>デンマークのSecuniaは,Webブラウザ「Mozilla」および「Firefox」の新たな脆弱性について警告を発した。「「Mozilla」と「Firefox」でセキュリティ・ホール相次ぐ」http://nikkeibp.jp/wcs/leaf/CID/onair/jp/ex03/358693>これらの脆弱性が存在するのは、Mozilla 0.x、1.0、1.1、1.2、1.3、1.4、1.5、1.6、1.7.x、およびMozilla Firefox 0.x、1.x。(nikkei.jp)「『Firefox』などのブラウザにフィッシング詐欺の危険性」http://japan.internet.com/webtech/20050209/12.html>Shmoo Group は自身のサイトに「0wn any domain, no defense exists」(ドメインを所有する限り、防御方法はない) というタイトルで警告のリンクを掲載したほか、問題に関する情報と実際の使用例を掲載した。(japan.internet.com)これだけ、これだけソフトの名称をあげつらって、さんざん騒ぎ立てた訳だが、ところが9日中にJPRSの下記発表があった「国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について - 既に対策は存在し、.JPはサービス開始当初より対策済み -」http://xn--wgv71a119e.jp/access/phishing.htmlんで、各メディア泡食って対応した記事がコレ!「『国際化ドメイン名によるURL偽装』はレジストリが原因,ブラウザのせいではない―JPRS」http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050209/155958/(IT Pro)「IDNの“脆弱性”はブラウザではなくレジストリ側の運用面の問題~JPRS」http://internet.watch.impress.co.jp/cda/news/2005/02/09/6421.html(Internet Watch)「国際化ドメイン名のフィッシング詐欺はブラウザの責任ではないとJPRSが見解」http://japan.cnet.com/news/sec/story/0,2000050480,20080606,00.htm(CNET Japan)記事末尾に言い訳がましい事を書き加えているが、元々最初からフィッシングなんて犯罪やる人間が、わざわざ手続き踏んでレジストラにドメイン取りに行って自分の氏名だ住所だなんて証拠残すわけ無いだろ!!で、謝罪文面があったのか下記だけ。「IDN表示偽装の問題、本当の原因は「レジストリ側の対応」」http://www.itmedia.co.jp/enterprise/articles/0502/09/news099.html(ITmediaエンタープライズ)>(その意味で、当初の記事は正しくないものだったことをお詫びします)。で?他の企業は?これソフト名とか論って「脆弱」とぬかしたんだから本来なら名誉毀損もんだぞ!大体、Secuniaってのが名前を売りたいんで、「ハァ?それってセキュリティホール?」ってなレベルの事ばっか散々騒ぎ立ててる。「Firefoxの脆弱性発覚--ユーザーの反応はさまざま」http://japan.cnet.com/news/sec/story/0,2000050480,20079960,00.htmいちいちこんな事言ってたら、「あらゆるブラウザやメーラーにURLやメールアドレスをタイプミスする可能性がある人間という脆弱性がある」とかまで言えるぜ!(苦笑)しかも、各社の記事で追記的にやたらと書かれたのが>Internet Explorerは影響を受けないって内容文面。これ、発表したShmoo Group の Eric Johansonって奴を洗ってみるとなんかあるかもねぇー。一応ググるとコイツらしいねhttp://news.com.com/2100-1039-5059541.html写真右側。アメリカ人。騒動の発端http://www.shmoo.com/idn/homograph.txtコイツのサイトhttp://www.shmoo.com>copyright 2000-2004真似して、揚げ足取ってみる。 もう2月だぞ!大体、国際化ドメインが開始した段で2003年の6月20日にICANNは想定済みでhttp://www.icann.org/general/idn-guidelines-20jun03.htm2004年4月にIETFがRFCにしてまで既に明記されてるhttp://www.ietf.org/rfc/rfc3743.txtそんなレベルの事だった訳じゃないか!コレだけ公式なものが前にアナウンスされてたにも関わらず、セキュリティベンダー発表だの、マスメディア企業のIT関連記事として、大騒ぎしちゃったってのはホントどっちも赤っ恥もの。逆にインターネットで公的な決定発表件を持つICANNやIETFのRFCって共通基準規格に賛同してないどっかのソフトの方がイレギュラーなんじゃないの?W3Cの勧告仕様規格準拠の件にしてもさぁ。でも、1社除いて各メディア側に反省の色が見れないってのが、事後の対応としてサイテーだと思う。誰でも彼でもの発表鵜呑みにして、公式な組織から規格として発表されてた事項の裏も全く取らずに伝えるだけだったら、便所の落書きと何が違うの?しかも、落書きや狼少年の声より、マスメディアWeb記事の影響力はでかいと思うんだけど?報道や表現には自由ってのはあるにしろねぇ。大昔のドラマみたいに「このドラマはフィクションです」とか、記事のラストにつけてもらう?(苦笑)失敗は人間だからあるにしろ、謝らないってのはやっぱ礼儀知らずだよね。こんなオソマツ対応だったら、どんないいかげんな内容の記事を今後も読まされるかわかったもんじゃないよなー。「狼が来たよー!」「脆弱性があるよー!」(苦笑)