eEye Digital Securityがゼロデイ攻撃によって修正方法(patch等)が公開されていないままになっているセキュリティ脆弱性情報を公開するサイトを始めたそうです.
米セキュリティ企業、ゼロデイ脆弱性情報をまとめたウェブサイトを開設 (CNET)
というわけで,記事中にもありますが,そのWebサイトはこちら
でも,ふと思う.これはどんな人をターゲットとした情報になるのだろう?
少なくとも一般ユーザではないことは確かだと思うのだが.でも、一般ユーザにアピールしているようにも見える.でもって、誰にこの情報を届けたら、それがセキュリティ対策として有効なのだろうか?
なぜ一般ユーザには意味がないのか.それはすぐにわかるだろう.一般ユーザに対して、「こういう脆弱性がまだ放置されているから気をつけろ!」 と言っても「何をどう気をつければよいの?」とユーザはとまどうだけだからある.そう,patchが公開されていない以上、一般ユーザにとってはHowがないのだ.そしてpatch以外の対策方法は、大抵の場合、簡単には行えないものである.
情報として公開されることに意義があること自体は疑いの余地はない.
これらの情報によって,なんらかの対策なり,行動が起こせる人もいるからだ.
でも、本当はこういう情報を誰に届けるべきなのだろう? やはりそういう脆弱性が見つかったシステムの開発者だけなんだろうか... うーむ.