mixi がセキュリティホールのアナウンスをしない件について、id:otsune さんから「フルディスクロージャーでも穴を塞ぐまで穴の存在自体告知しない」という主旨のご指摘がありました(参照:[id:rna:20050421#c])。コメント欄での応答と重複しますが改めてまとめます。

穴を塞ぐまで穴の存在自体告知しないというのは、悪意のある攻撃者予備軍(以下「狼」)と被害者となる一般ユーザー(以下「羊」)の双方が穴の存在を知らない状態からスタートするからだと思います。

つまり、初期状態では狼側と羊側は互角ですが、狼の方が情報に敏感なので穴の存在を公開するとまず狼側に有利な状況ができてしまいます。告知しなければ互角のままですから告知しない方がよいです。

問題は今回の件のようにいきなり穴が公開されてしまい、初期状態で狼側有利になっている場合です。この場合、穴の告知によって狼側をより有利にする程度と、羊側の不利を減らす程度との兼ね合いで告知の是非が決まると考えられます。ほっといても狼たちには知れ渡るのは時間の問題、という状況なら告知して羊たちに自衛を促すのが得策。すぐには知れ渡りそうにない、あるいは技術的な理由から狼が攻撃コードを作るより穴を塞ぐ方が速くできそう、というような状況なら告知しないのが得策。

僕は、今回の mixi の穴は「やじうまWatch」が取り上げたあたりからもう「時間の問題」だと思いました。また「はまちちゃんVer.3」が出た時点で攻撃コードを作るのは狼側の人間なら非常に容易になってしまい、その一方で穴を塞ぐのは(mixi の設計を推察するに)薄く広く修正を入れなくてはならない、単純だけど手間のかかる作業だったと思われます。なので、これは早めに告知すべきケースだったと思いました(結果論かもしれませんが)。

ただし、ここまではシングルリスクの話です。実際には攻撃されるリスクだけでなく、攻撃に備えて自衛策をとることで発生するリスク、あるいは otsune さんが心配するように告知を誤解したユーザが出てくることによるリスク、というのがありえます。なので、マルチリスクでのバランスというのを考えなくてはなりません。具体的なリスクとしてはサーバの負荷なども考えられますが、SNS というサービスの性格上、脱会者が増えたり会員同士の連絡が滞るなどで人間関係へのリスクが出てくるのが深刻かもしれません*1。

このあたりは実際の利用者の価値観次第というところがあって判断が難しいところですが、mixi 会員の価値観は運営側が一番よくわかっていて、適切に判断したに違いない、と考えるのも一つの考え方なんでしょうか。

mixi はこの手の穴に対する対処が以前から甘いらしい(参照: セキュリティホールメモ)のですが、それでも会員が増え続けてきたということは「セキュリティより出会い」が一般会員の傾向なんですかね? mixi はそのように判断した?

でも、一般会員はセキュリティリスクがあったことも知らないだろうからセキュリティと出会いの価値をそもそも比較していないわけで。「セキュリティより出会い」かどうかは実際告知して反応見ないとわからない気が。