当方は、A.D.2003 をはじめとして、A.D.200X が主催するイベントに参加したことはない。だから今回の件については、ウェブなどに公開された情報から自分の意見をまとめさせてもらった。
……というのは正しくないかもしれない。当方は、ACCS がアナウンスを出した翌日、たまたま office さんと二人で飲む機会があり、その日出た/.J のストーリーについて話を伺った。当然ながら、そこでの会話は私的なものだから一切公表しないが、そのときはニュースになったという以上の情報を当方が持ってなかったため、突っ込んだことを聞くことはなかった。認識としてはウェブなどから情報を得た人とほとんど違いはないと思う。
事から二ヶ月近く経って朝日新聞の一面(と社会面)に大きく取り上げられたわけだが、当方もやはり「なぜ今になって?」と思ったし、当方が朝日新聞嫌いというのをおいておくとしても、何かしらの意図を勘ぐってしまったのは確かである。しかし、これについては確かめようがない以上陰謀論を書いてもしょうがないし、それは今回の本題ではないのだからこれ以上触れない。
それなら今回の問題の本題はということになるが、それは何より脆弱性を放置し、対策を取らない(機密情報を握る)ウェブサーバの存在だろう。今更だけど。そしてそのセキュリティ問題をどのように解決していくか。脆弱性を発見した人が、どのようにウェブサーバの管理側と交渉するか。どのような手順を踏み、脆弱性についてのユーザへの告知はどのように行われるべきか。
A.D.2003 における office さんのプレゼンについては、残念ながら報告者が許容される範囲を逸脱したところがあったのは間違いないようである。詳しいところは、崎山伸夫さんなど実際に A.D.2003 に参加された方の文章を参照いただきたいが、逸脱については責められて当然であるし、「自業自得」という謗りはもっともだろう。
その点について(現在は削除されているが)office さんは自身のサイト上で謝罪を行っており、その文章を読んでも氏の姿勢は一貫していると思う。警察が動いているという報道もある中で、あれ以上書くことを要求するのは無理だろう。朝日新聞の報道を受けて /.J など一種の祭り状態になったが、あれは一体何なのだろう。朝日新聞嫌いだからこういう表現になってしまうが、朝日なんかに踊らされて楽しいかね。
個人的に残念なのは、やはり今回の件で office さんの活動に制約が課されるかもしれないことである。昨年、氏が中心となりソフトウェア特許研究会を開催しているが、そうした方面での活動に当方は多いに期待するところがあった……と書くと偉そうなので正確に書くと、そこからいろいろ勉強できることをあてにしているというのがある。
しかし、である。以上を踏まえて書いておきたいことがある。A.D.200X の今回のアナウンスは何なのだ。こんなことを思うのは当方だけかと思っていたら office さんの茶室でも同様の意見が出たからそうでもないようだが、A.D.200X は朝日の報道がなければ、今回のアナウンスは出さなかったのか。文章を読むと直後から調査を行っていたようだが、それにしても(何をどう見積もっても)一月以内にはアナウンスは出せたはずだ。
脆弱性を発見し、その後の処置についてユーザへの告知まで含めて評価することと、主催イベントにおいて逸脱があり、それについて公式に参加者に告知すること、それはある意味同じだけの真剣さを求められるのではないか? そういう基準で考えた場合、A.D.200X の対応はリスクの評価という点でも、その対応という点でもまったくなってないじゃないか。朝日の報道について「何を今更」というなら(前述の通り当方も言っているが)、今回の A.D.200X のアナウンスは、それ以上に「何を今更」である。セキュリティの専門家集団として恥ずかしくないのだろうか。
だからこそ、A.D.200X には、雑誌の「限りなく廃刊に近い休刊」のような活動休止を発表してほしくなかった。体制といっても査読などいくつかのガイドラインを実施すればよいだけじゃないかと周りは思うからだ。当方は @random というイベントに参加させてもらった経験があり、そうしたイベントを運営するのが、(たとえメンバーの間に諍いなどがなくても)ものすごく大変で、疲弊させられるものであるということについては少しばかり知識があるので、事が単純でないことは想像はできる。が、それにしても残念である。
