2004年09月19日(日) [過去の今日]
TOTOROの自堕落 でハッケソ。
自転車用の鍵としては有名で強力、「世界最強」を謳い文句にしている クリプトナイト社 の自転車鍵「Evolution 2000」にボールペンの後ろを差し込んでがちゃがちゃやると開いてしまう、という脆弱性が公開されているそうだ。1999年に発売されている3000のほうはどうなんだろうか。
以前にもこの日本で、とある自動車メーカーの鍵はほとんどあるハサミで開くことが可能という脆弱性が発見されたことがある。こちらの例はこの脆弱性を発見したクラッカーが自動車泥棒を繰り返した挙げ句逮捕されたが、この自動車メーカーがどこであるか、ハサミはどこのものかといった情報は非公開になっている。またメーカー側の対応も公表されていない。しかし、おそらく発見したクラッカー周辺ではよく知られた情報となっているであろうし、今後も犯罪者の間でこの情報は流通していくだろう。今もこの手法で泥棒を繰り返しているかもしれない。
クリプトナイト社のEvolution 2000が発売されたのは1992年。この12年の間におそらく自転車泥棒たちはこのクラッキング手法を発見し、犯罪を重ねてきたのであろう。その情報が一般にも洩れてきたというだけのことであると、推測される。
正直なところ、まともにこうした脆弱性に対応しているメーカーは、オープンソース・プロダクトを除けば唯一マイクロソフト社しか知らない。マイクロソフト社の製品は構造的な欠陥を抱えているがためにばかばかしく危険な脆弱性が発見される。が、その対応は間違いなくプロプライエタリなメーカーとしては世界一 *1 のものだろう。実に情けない話ではあるが。
隠された脆弱性は、悪人に発見され悪用されるのが運命である。その隠された脆弱性を公表することは、 ACCS の 大活躍 により、犯罪とされ *2 誰も公表しなくなってしまった。
今、我々が利用している車、自転車、コンピュータ、家やカードやウェブサービス等々……隠された脆弱性が無いという保証はどこにも無い。企業倫理を信頼する以外の選択肢が奪われようとしてる昨今、市民としてやれることがまだまだあるのではないかと思うのである。Evolution 2000の脆弱性を勇気をもって公表した方々のように。
(@335)
@ 2004年9月28日追記:
セキュリティホールmemoの追記 によると、このU字ロックは 交換が始まってる らしい。