拡張頭蓋 | Extended Cranium

もしかすると誰かの役に立つかもしれないことを書き留めておく

2017-12-22 セキュリティニュースまとめ

Windows 10 用パスワード管理ソフト Keeper Browser Extension の開発会社 Keeper Security、同製品の脆弱性に関する記事を書いた Ars Technica の記者を訴える

www.zdnet.com www.securityweek.com

※ 「Keeper Security 社は、Fox-IT 社のこのセキュリティブログ記事 について同社を訴えると脅したことがある」と元記事に説明されていますが「Keeper Security が脅した」とされるソースについてはブログ内の以下「Vendor response」の部分のようです。

Keeper Security Inc’s legal counsel has since notified Fox-IT that “that the issue raised […] has been addressed and resolved in the new version of Keeper (Version 6.0) which is available on the App Store”. However, the description of the update on the App Store does not specify this version resolves any security issues. Fox-IT was also notified that the public disclosure of the issues that are described in this advisory may be met with swift legal action.

Keeper 社のブログで説明されている時系列

日時 起こったこと
2017-12-08 Keeper 社、Keeper Browser Extension バージョン 11.3 をリリース
2017-12-14 Google のセキュリティリサーチャー Tavis Ormandy 氏が Keeper 社に同バージョンが潜在的に脆弱であるという件を連絡、ハッキングの手法について説明(「悪用を成功させるためにはユーザーを悪意のあるWebサイトにまず誘導しなければならない」)
2017-12-15 Keeper 社が修正版 11.4.4 をリリース (報告から 24 時間以内)

本訴訟に対するコメント

  • Google: 「コメントできない」
  • Microsoft: 記事の時点で同記事記者への返信なし
  • セキュリティ専門家・リサーチャーの反応 (同ブログで引用されたツイートより):

コメント (追記)

元記事は、海外のニュースを取り上げて日本語化したブログを書こうという試みも萎縮させるものとなっています。

本ブログでは、その日に海外のセキュリティに関して報道された記事の中から注目度が高い内容を日本でも有益と判断して日本語化して記載するようにしています。ただし、元記事が本ブログで取り上げた後、どのように編集されたかはトラッキングできていません。 また、短時間内で日本語で検索した際の発見につなげることを意図しているため、要約する中でどうしても単純な誤訳、解釈間違いなどが発生する可能性もあります。 元記事からリンクされている一次ソースは当たるようにしていますが、本サイトでは技術的な検証まで行っているわけではなく、仮に一次ソース自体の内容に誤りがあった場合はそれを捕捉することはできません。

この訴訟が仮にいわゆるスラップ訴訟であれば、善意あるセキュリティリサーチャーがセキュアな世界を作ろうとする試みを萎縮させるものとなってしまいます。 同時に、伝える側も、正確性を担保するためには、二次ソースの内容をそのまま伝えるのではなく、最低限度一次ソースを当たらなければならないということはいえます。