『ネットランナー』にはまちちゃんインタビュー

4月号 p164 に「こっそりやってもつまんない!「はまちや」氏はセキュリティ専門家 2.0?」と題して*1はまちちゃん(id:Hamachiya2)へのインタビューが載っています。

脆弱性を攻撃する動機は啓蒙活動というわけではなく「ただ面白いからやっているだけ」とする一方、こんなことも。

それにもし啓蒙活動だとしても、システム管理者にこっそり連絡して、こっそり直してもらうのは、あまり意味がないと思うんですよ。それって初心者ユーザーには肝腎の所は隠しておくってことだから。どうして隠す意味があるのか、よく分からないな。だって隠したままじゃ、初心者は何も知らないままで問題のあるソフトやサービスを使い続けることになるわけじゃない。あとになってからアナウンスするなんて、すべてを「対岸の火事」にしたがってるみたい。

とはいえ、手加減はしてるんだとも。

あ、これがもし「他人の銀行口座にこっそり侵入して、預金を引き出す」みたいな重大な脆弱性だったら、さすがに手法を公開なんかしないで、きちんと報告しますよ!

攻撃ではなくて「面白いかどうか」を追求した「いたずら」であり、それが迷惑だと感じるなら「なぜ迷惑だと思ったのか、理由もはっきり書いた上で伝えてほしいな」とのこと。

そういうことなので、理由をはっきり書いた上で伝えたいと思います。攻撃の内容が比較的無害なものだとしても、JavaScript を使った攻撃の場合クライアント側に攻撃コードが丸見えですから、少し技術のわかる人なら簡単に悪質なコードに改造できてしまうことがあるのです。

例えば mixi の「はまちちゃん」攻撃の場合、日記エントリを一個増やす事自体はたいして罪はないかもしれませんが*2、あの手口を応用してユーザのプライバシー情報を取得したり暴露したりするような攻撃が可能でした。

はまちちゃんはそこまで気付いていなかったのでしょうか? それとも当然気付いていたけど「でもそれは改造した人が悪くてぼくの責任じゃないもん!」と思ってスルーしていたのでしょうか? あるいは「Web にプライバシーなんてないよ!(過激派)」ってこと?

後になってからアナウンスするのは無意味じゃないか、というのは一理あると思う。とにかく対処が終わるまで伏せるべきという考え方もあるみたいだけど、僕はそうばかりも言ってられないという立場(そのあたりは[id:rna:20050423:p1]に書いた)。はてなCSSXSS の件みたいに3ヶ月以上穴が空きっぱなしで何のアナウンスもないというのはどうかな!せめて自衛を促すアナウンスがあったらいいと思うのだけど…!


*1:脱力。これがネトランクォリティー

*2:それでも夜中にあれを踏んで何が起こったのか理解できず凄く怖い思いをしたという人もいた。