Billy Rios氏は現在ある攻撃方法を提示しており、これはGoogleだけを標的にしているわけではないが(実際、これはあらゆるウェブアプリケーションを対象とするものだ)、ユーザーがRios氏が管理するページを訪れるだけで、Google Health、Google Docs、GMailなど、Googleが管理するあらゆるアプリケーションのそのユーザーのコンテンツを自由にできる可能性が高いことを私は知っている。Billyが善人であり、この問題を修正する側の、相応しいベンダーに勤めていることは幸いなことだ。残念ながら私はここで詳細について述べることはできない。もし知りたければ、Black Hat Vegasのわれわれの話を聞きに来る必要があるだろう(私、Rios氏、John Heasman、Rob Carterの宣伝になり恐縮だが)。
RSnake氏はほとんど活用されていないGoogleのセキュリティブログについて、次のように考えを述べている。
余談になるが、Googleのセキュリティブログが設けられてから1年が経過し、同ブログは静かに1歳の誕生日を迎えた。誰か気付いた人はいるだろうか。私は1年前に、このブログから何か興味深いものが生まれれば私は驚くだろうと、多くの人に話したことを思い出す。それから1年経ったが、投稿された記事は13件であり(月に1件)、話題となった実際の問題やセキュリティホールについては、ほとんど何も書かれなかった。公正を期すために言えば、1年前に「Lemon」に関する非技術的な短い投稿が2本あった。この記事から学んだ人もいるかも知れないが、それは私ではないし、私が話したことのある研究者もその投稿から学ぶことはなかった。少し遅れたが、ハッピーバースデー、Google Security!1年が過ぎ、リダイレクトの問題はまだ解決していない。これについての記事など投稿してはいかがだろうか。
これはよく言っても残念としか言えないことだ。個人的に、私は数件の問題をGoogleに報告したことがあるし、私の近しい仲間であるBilly Rios氏やRob Carterも同様だ。Googleのセキュリティチームは非常に対応が速く、重要な問題を素早く修正するため、われわれはいつも彼らと連携するのを楽しんでいる。しかし、私がいつも懸念しているのは、Googleがセキュリティホールや、(こちらの方がより重要だが)ユーザーがその問題の影響を受けることを避けるために取るべき手順について公に情報開示をしないことだ。
RSnake氏は次のように続けている。
2日前、別の有名なセキュリティ専門家が次のようなことを私に指摘してくれた。Googleはこの時代の最大の茶番を演じていると。Googleは得られる限りの最高の人材の最大の集まりであり、そのただ1つの目的は、検索結果の横に広告を表示することなのだ。思い出して欲しいのだが、Googleはたった数ヶ月前に、あらゆるトップクラスのインターネットサイトの中でプライバシーに関して最悪だと評価された企業だ。この企業が、HIPAAの規制がかからない私の医療情報を管理してくれるわけだ。
私は、イノベーションのためのイノベーションが危険になるのはどこからなのか、考え始めた。これは直感的な意見だが、法はGoogleのHIPAAの規制逃れに対し、強い対応を示すべきだと思う。私はRios氏がGoogle Healthに重大なセキュリティホールを発見するまでにかかる時間は、3週間ほどではないかと思う。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
