AERAdot(朝日新聞出版)毎日新聞大規模ワクチン接種報道にみる脆弱性発見時の対応│ITエンジニアの独り言 IT系フリーランス~デジタルマーケティング~社内SE(何でも屋?)~秋葉原パソコン販売員 幅広い経験を元にIT/ネット関連の話を幅広く綴ったブログです

AERAdot(朝日新聞出版)毎日新聞大規模ワクチン接種報道にみる脆弱性発見時の対応

産経ニュース

政府の大規模接種センターの予約に関し、朝日新聞出版のニュースサイト「AERAdot.」と毎日新聞などが架空の接種券番号で…

 

あの報道。

「しまった!」と朝日新聞側はしょげていると思いきや、歪んだ正義感で朝日側は自分たちは正しいことをした、と心底思いこんでいるみたいですね。

世論を挑発して。。。しっぺ返し怖いのに。。。この先心配です。。。

 

とりあえずこの件に限らず、あるサービスで脆弱性を見つけたときの一般的な対応です。

個人の考え方というより、ネット上で一般的な対応を書いておきます。

参考までに。

 

大きく分けて脆弱性発見時の対応は3パターンがあります。

1.対応に必要な十分な時間的猶予を与えたあと、脆弱性の内容を公開

2.突然公開するが、模倣犯が出ないレベルの脆弱性公開に抑える

3.公開はせず、サービス提供者に直接詳細を脆弱性詳細をいう

 

今回のAERA(朝日新聞出版)の対応はこれのどれにも当てはまらず、ほぼ予告なく、犯行手順詳細公開までするアウトロー的な手段だったので、ゆがんだ正義感と名指しされ、大炎上に至りました。

 

1.直接通告した上で、対応に必要な時間的猶予を告げた上で、システムの脆弱性の対応をせず放置していた場合、大まかな脆弱性の存在を公開。

今回、朝日新聞側は時間を与えたと言っていますが、わずか1時間40分だったようです。

常識的に考えて対策は無理な時間ですね。

何のために時間的猶予を設けるのか、目的を理解するまでのレベルに達していなかったと推測できます。

 

 

2.突然不具合の存在を公表する。

ネット上には指摘を目的としてこのようなこともあります。

細かい脆弱性まで解説し、模倣した不正行為を煽るまではしないことが大半です。

見た人が真似を出来ない範囲で、公開することが一般的です。

空き巣の例で言えば

「○○市」

で止めるレベルですね。

脆弱性の存在は公開しても、模倣犯を誘発しかねないので、今回、AERAが行ったような詳細な内容公開は例えて言えば、

「○○市○○町1-2-3 山田太郎 宅の玄関の鍵が開いているので簡単に空き巣に入れます。空き巣を実証し成功したので、山田宅の空き巣のやり方をここに公開します。」 と不特定多数にいってるようなもの。

大まかで止めておけば「脆弱性を指摘した」という言い分は通用しましたが、詳細を不特定多数に公開してしまったため、悪質と世間からレッテルを貼られ大炎上してしまいました。

せめて「○○市○○町」で止めておいて、本人にはきちんと細かく指摘すべきでしたね。

 

3.サービス提供者に直接詳細を言う。

今回の事件を踏まえて、IPAがこの方法を推奨していますね。

ITmedia NEWS

大規模会場を使った新型コロナワクチンの接種予約システムの欠陥を巡り、情報公開の在り方で議論が起きている。IPA(情報処理…

これが一番平和裏な方法とは思いますが、

「果たしてどれだけの人が正直に報告するのだろうか?」

と思います。

メリットがないと手間をかけて報告する人はほとんどおらず、通報件数は限りなくゼロ件に近くなると思います。

これを見習って、脆弱性報奨金制度と同等のようなものがあってもいいと個人的に思います。

大規模なセキュリティチェックの時ならば大きめの報奨金を準備して、日常的なものならば通報内容に応じ数千円~数万円程度の見返りを用意しても良いと思います。送金というと個人情報とか大変そうなので、情報提供料としてamazonギフトコードをメール等で送るようにすれば、入手する個人情報は最小限に抑えられるので、良いのでは?と個人的に思っています。

実はこの方法はある民間大手のネットサービスで脆弱性を報告したら、この対応をされたという実例です。

なるほど。。。この手があったかと気づかされました。

予想される反論として「税金の無駄遣い!」という指摘も考えられますが、通常はセキュリティコンサルを業務委託で頼むと一人月200万円です。(セキュリティコンサルは現在の人手不足の状況も相まって単価が跳ね上がっています・・・)

仮に1月を22日間と仮定すると1日約9万円です。

これを考えればそれなりに報奨金を配っても、コストは10分の1以下。

大変コスパに優れたやり方だと考えています。

報奨金無しでもボランティア精神で、親切に大量の時間をかけて脆弱性を探して報告してくれる人がいると思うのは理想論です。

 

国には脆弱性報奨金制度の創設を是非検討してもらいたいと思っています。

 

それにしても、ネットには超えてはいけない一線があり、きわどいことをやっても不思議と炎上しないインフルエンサーにはそこの超えてはいけない一線(このラインはその人のキャラクターにより違う)を分かってギリギリを攻めている人なのかな、と考えます。

朝日新聞・毎日新聞がネット上で頻繁に炎上するのはITリテラシーが絶望的に足りないため、そこのラインが分かっていないからなのでは?と予想しています。

 

あと毎日新聞は知りませんが、朝日新聞の個人的予想。

今の部数減少を見ていると、10~15年程度で廃刊になるのではないか?と予想しています。

https://mainichi.jp/articles/20201130/k00/00m/020/351000c

朝日新聞の渡辺社長が退任へ 赤字で引責 後任は中村副社長

上のニュースから見ても経営状況は壊滅的と言わざるを得ません。

 

電子化に力を入れればいいという簡単な問題ではなく、メディアとして完全に世間からの信頼を失っているので、ネット対応云々というレベルではないでしょう。

ただし、会社は倒産はしないと予想しています。

朝日新聞は、新聞は絶不調ですが、不動産は好調です。

新聞事業の大赤字を不動産事業で支えているという話も聞いています。

有名どころでは有楽町マリオンも、朝日新聞社の持つ不動産です。

(他にも都内に多数有料不動産物件があるようです。)

 

https://dialog-news.com/2019/07/17/asa201903/

朝日新聞、「本業」の不動産が利益の8割まで上昇 リストラと非正規社員の活用で高収益 2019年3月期

この先、

「朝日新聞」→「朝日不動産」

と名前を変え、大幅に会社を縮小していくのではないかとみています。

これが一番無難な落ち着き先ではないかと思っています。

朝日新聞社は報道機関としては残念な会社ですが、財務データを見ると不動産部門は優良企業だと感じます。

朝日新聞も報道機関として悪あがきをし生き残りを図るのはもう手遅れなので、潔く諦めて「朝日不動産」として心機一転船出をする方がいいのが自分自身のためにも最善では?と思っています。

朝日新聞の筆頭株主は社員持株会です。報道部門を廃止し、不動産会社一本にすることが、株主=社員の利益にかなうことだと考えています。

損切りが大切です。経営陣の英断に期待したいところです。

エグゼクティブキャリア総研

事業が経営計画通りに進まないことが明らかになっても予定通りに撤退を始める経営者に、私はこれまでに出会ったことがない。それ…

見切り千両とは江戸中期に米沢藩を立て直した名君「上杉鷹山公」が残した言葉である。この記事では、見切り千両の価値、並びに、…

 

 

 

 

【未上場企業の有価証券報告書を見る方法】

この技、あまり知られていないようですね・・・・

1.EDI-NETを開く
2.書類検索>提出者 に検索したい会社名を入力
 この場合、【朝日新聞】と入力。
3.以下のように未上場企業も財務丸見えです。
*金融商品取引法金融商品取引法第27条の30の3第1項でEDINETの使用が義務づけられた一部の文書のみ