bookmarks=本の栞

「のこぎりでも壊れない」U字ロック、ボールペンで簡単に解錠という衝撃的なニュースが公開された。テレビでもTBSが報道したとのこと（テレビ見ないので知らなかった）。

インターネットの世界ではこういうセキュリティ上の欠陥を見つけた場合、
1. 開発元に知らせ誠意ある対応を求める
2. ○週間たっても改善の動きが見られない場合は公開する、とあわせて通知する
3. 開発元は一生懸命対応策を考える（あるいは無視することも）
という流れが一般的になっています。2.をすっ飛ばす人はあまり尊敬されません。仲間内からは「すごいヤツだ」と思われるかもしれませんが、開発・製造元が対応策の準備を整えておくことができないと、最終的に迷惑をこうむるのはエンドユーザだからです。

今回、アメリカでこのU字ロックの弱点を公開した人は本業がネットワークセキュリティのエンジニア。「仕事柄、公開することにはためらいを感じなかった」といっていますがちょっと疑問。
U字ロックの開発製造元の対応を見る限り、「開発元に知らせる」という1.のステップを取っていないように見えるんです。
でもいったん公開されてしまった以上、できるだけ多くの人に知らせるしかありません。泥棒だけが知っていてメーカーも一般の人も知らない状態を最悪とすると、泥棒もメーカーもみんなも知っているのは次善（次悪？）になります。メーカーに対応を検討する猶予を与えなかったのは、消費者にとってもマイナスです。盗難されないことを優先するのであれば、自腹で別の鍵を買ってこないといけないんですから。確実に開くと分かっているクリプトナイト社は、U字ロックの無償交換プログラムを始めています。（米国内のみが対象に見えますが、、、）
ただ、同じメカニズムを採用しているロックは同じ方法であいてしまうということなので、斉工舎ユーザである私は斉工舎に問い合わせています。