今日はWASフォーラムで「事例に学ぶインシデント・レスポンス3〜漏洩被害者は語る」というライトニングプレゼンをやったんですが、そのあと高木さんと話をしていて思ったこと。
例えば基本的なセキュリティ対策として、「ウイルスには気をつけよう。添付ファイルはダブルクリックしないこと。」というのがあったとしましょう。それに対し「添付ファイルに気をつけようというだけでは足りなくて、添付ファイルを自動的にインストールされてしまうIFRAMEのような例もありますよね」などというツッコミがあったとします。そのツッコミは正しいのですが、でもそれは脆弱性であり、基本的な対策を変えるほどのものではない、と言えます。
もうひとつ、「添付ファイルの拡張子を気をつけるようにしましょう。安全な拡張子は.jpgと.txtと.gifと.mp3です。それ以外は安易にクリックしてはいけません」という基本的なセキュリティ対策があったとして、「いやいや、ほにゃほにゃってやると拡張子偽装できてしまうんですよ」というツッコミが成立したとします。その場合「拡張子偽装」の原因というかネタが、設定変更やパッチ当てなどで手当てできるものならば「脆弱性」と言い切っても良さそうなんですが、「あ、それ仕様だよん」とか言われてしまった場合にはどうすりゃいいんでしょうかねえ？
そういう仕様はおかしいのでやめれ、と正論を言い続ける、公的圧力をかける、などの方法論は思いつくんですが、例えばその原因を作ったソフトウエアのメーカーがアメリカの会社だったら*1、圧力が圧力にさほどならなかったりしちゃうかも。
手元で回避策を編み出すことができれば、それを公開・提示して強力に推奨し、その事実をもって公的な圧力にする、というサイクルに乗せることができるといいんですけどねー。でも前提は具体的な回避策を編み出す、ということだったりして。実はここが一番難しいとも言えたりして。