OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起

http://internet.watch.impress.co.jp/docs/news/20140411_644031.html

あたしはね、昔は、この手の問題が見つかった場合。

「さっさと公表しろ。隠すな。んで、ベンダーはさっさと対応しろ」

というスタンスだったの。でもね、最近ちょっと違うのさ。

なんでかってゆーと、

「ベンダーが必ずしも対応するとは限らない」から。

・・・つまり、「脆弱性が公表されるだけで、対応する人が少なければ、攻撃者ウハウハだなぁ」と。

例えば、WindowsXPのサポート問題とかも同じで、「サポート切れるから買い替えろ」というのに、まだ対応していないというか、こんなアホなことを言う連中もいるわけで。

対応する人が対応しないとダメなのに、肝心の対応者が動かないのであれば、「あまり公表しない方が被害者が少ないのかな」なんて思ったりもする。対応すべき人の対応しなさは批判されてしかるべきなんだけどね。

あとね、ITセキュリティ関係者が、「どういう風に攻撃されるか」ということを詳細に書いたりとかね。模倣犯増やすだけだから、安易にそういうことをスンナ(´・ω・｀)って思ったりね。

その距離感を、最近（というか、結構前から）悩むようになった(´・ω・｀)どうしたらいいんだろうね。