発見者が語る「Winnyのセキュリティ・ホール」

http://itpro.nikkeibp.co.jp/article/Watcher/20060424/236080/

「発見した俺らってスゲエダロ？」的な文章にしか読み取れなかったあたしはひねくれ者でしょうか。

特に、

eEyeでは、内規により実働する攻撃コードの外部提供が一切禁止されています。

なら、そもそも、こんな記事を書くんじゃない。

実際に証明できないのに、「危険ですよ」と宣伝してるだけじゃないか。

もっと腹立ったのはこの部分。

Winnyを取り巻く社会的な事柄に関する理解が遅れているということもあり、このような状況で、通常のeEyeの脆弱性処理プロセスに基づいて公表するのは問題があると判断しました。このため3月22日（PST：米国西海岸時間）、IPAに本問題を託し、処理して頂くことにしました。

・・・じゃあ、ITProの記事にするのも、そのあたりの社会的な事柄を理解してからにしてくれ。

これまでも、さんざん「危険だ」「情報漏洩するゾ」とニュースで報道されているにもかかわらず、40~50万のアホユーザが利用している（しかもその利用を促進させるような書籍まで刊行されている）状態なんだ。

個人的には、「こんな状態でもWinnyを使ってるアホは勝手にPCをクラックされてろ」とは思うけど、こんな能天気に分析をWeb上に「連載」として掲載する神経もどうかと思うがね。

技術的には優れてる人物なんだろうけど、社会問題はまったく考えられない人物らしい。

Winnyのリサーチを開始して2日後にこの脆弱性を発見したのですが、いかんせんWinnyを取り巻く社会的背景の理解が不足しているため、どのように処理することが日本の社会において最も適切なのか判断しかねました。この脆弱性は非常に簡単に発見できるものであり、いつ問題が表面化してもおかしくない状況であると思いました。



　しかも、金居が1日でWinnyノードの収集用プログラムをほぼ完成させ、数時間でほぼすべてのノード情報を取得できることが確認できました。これは、Winnyネットワークへの一斉攻撃が、非常に短期間で実現できることを意味します。

と書く事が、「それを可能にする」という情報を攻撃者側に提供している事になぜ気づかないのか。

すべてを黙ってろ、とは言わない。

が、「数時間でほぼすべてのノード情報を取得できることが確認できました。」などという、今回の脆弱性とは関係のない、必要のない情報を掲載して、「自分たちの技術力を誇示している」のは気に入らないね。

まぁ、情報だけはありがたく受け取っておくけどな（笑）