「情報公開のルールを破った」とタコ殴りに遭うマイクロソフト

良かれと思ってやったことが裏目に出ることってありますよね。おそらく今回のマイクロソフトはまさにそうだったのでしょう。

簡単に言うと、「パワーポイントの脆弱性が見つかったので、Windows版の修正パッチを発表したら、犯罪者の仲間呼ばわりされた」 ということです。

従来、セキュリティ修正プログラムをリリースするまで関連情報を一切公開しないというのが暗黙のルールだったそうですが、 今回のマイクロソフトの対応はそれに違反しているとのこと。

以下のメッセージをもってセキュリティアナリスト、 フランツェン氏がマイクロソフトを非難しているとコンピューターワールドで述べられていました。

『「Office for Mac 2004」と「Office for Mac 2008」にも同様の修正プログラムが必要とされているにもかかわらず、 MicrosoftがWindows版のほうを優先して修正プログラムをリリースしたことで、脆弱性の詳細が公になってしまった。これは、 責任ある情報公開というルールに反する行為』
http://www.computerworld.jp/topics/ms/145590.html

ISCに掲載されている原文はこちら。
http://isc.sans.org/diary.html?storyid=6379

マイクロソフト・セキュリティレスポンスセンターの責任者は次のように回答しています。

『エクスプロイトのサンプルを分析しても、 Mac版のエクスプロイトは作れないということがはっきりしていた。Mac版のセキュリティ・ アップデートが完成するまでWindows版のリリースを伸ばすことはしたくなかった』

ちなみにISCに掲載されているオンライン投票では次のようになっています。
https://isc.sans.org/poll.html?pollid=262&results=Y

・Mac版のパッチを無視したのは無責任　：　47％
・同社は最良の判断を下した　：　4％

ステークホルダーの動きをよく考えて行動しなければならないことを再認識させられた出来事で、 何でも手早く提供すれば良いというわけではないという話でした。