2017-12-22 セキュリティニュースまとめ
Windows 10 用パスワード管理ソフト Keeper Browser Extension の開発会社 Keeper Security、同製品の脆弱性に関する記事を書いた Ars Technica の記者を訴える
www.zdnet.com www.securityweek.com
- 訴訟の元になった記事※現在公開されているのは同社の要望を入れて修正した後のもの
- 問題となった脆弱性に関する Keeper 社のブログ
- 訴状
- 「16 ヶ月前の不具合がいまだに残っているという誤解を招きかねない虚偽の説明をした」「記事は 2 度修正されているがこの誤解をまねく虚偽のある説明が変更されなかった」
- このブログで引用した内容はタイトルを別ニュースサイトの記事から、本文を Google のリサーチャーのコメントを翻訳して記載 ed3159.hatenablog.com
※ 「Keeper Security 社は、Fox-IT 社のこのセキュリティブログ記事 について同社を訴えると脅したことがある」と元記事に説明されていますが「Keeper Security が脅した」とされるソースについてはブログ内の以下「Vendor response」の部分のようです。
Keeper Security Inc’s legal counsel has since notified Fox-IT that “that the issue raised […] has been addressed and resolved in the new version of Keeper (Version 6.0) which is available on the App Store”. However, the description of the update on the App Store does not specify this version resolves any security issues. Fox-IT was also notified that the public disclosure of the issues that are described in this advisory may be met with swift legal action.
Keeper 社のブログで説明されている時系列
日時 | 起こったこと |
---|---|
2017-12-08 | Keeper 社、Keeper Browser Extension バージョン 11.3 をリリース |
2017-12-14 | Google のセキュリティリサーチャー Tavis Ormandy 氏が Keeper 社に同バージョンが潜在的に脆弱であるという件を連絡、ハッキングの手法について説明(「悪用を成功させるためにはユーザーを悪意のあるWebサイトにまず誘導しなければならない」) |
2017-12-15 | Keeper 社が修正版 11.4.4 をリリース (報告から 24 時間以内) |
本訴訟に対するコメント
I agree with @a_greenberg - this is bullying and @dangoodin001 is def in the top 1% knowledgeable journalists. If @keepersecurity thinks this will make their software more secure, this will only irreversibly damage their reputation as a security company. https://t.co/4Sy6Pr3BdN
— Matthieu Suiche (@msuiche) 2017年12月20日
This suit is ridiculous and will go away, but what a bad precedent this is for a security firm to set and what a dishonorable way to treat a journalist who has covered security for years and takes great pains to get things right @keepersecurity https://t.co/VEhtY4Exxy
— Kim Zetter (@KimZetter) 2017年12月20日
コメント (追記)
元記事は、海外のニュースを取り上げて日本語化したブログを書こうという試みも萎縮させるものとなっています。
本ブログでは、その日に海外のセキュリティに関して報道された記事の中から注目度が高い内容を日本でも有益と判断して日本語化して記載するようにしています。ただし、元記事が本ブログで取り上げた後、どのように編集されたかはトラッキングできていません。 また、短時間内で日本語で検索した際の発見につなげることを意図しているため、要約する中でどうしても単純な誤訳、解釈間違いなどが発生する可能性もあります。 元記事からリンクされている一次ソースは当たるようにしていますが、本サイトでは技術的な検証まで行っているわけではなく、仮に一次ソース自体の内容に誤りがあった場合はそれを捕捉することはできません。
この訴訟が仮にいわゆるスラップ訴訟であれば、善意あるセキュリティリサーチャーがセキュアな世界を作ろうとする試みを萎縮させるものとなってしまいます。 同時に、伝える側も、正確性を担保するためには、二次ソースの内容をそのまま伝えるのではなく、最低限度一次ソースを当たらなければならないということはいえます。