以前、仕事で係わっていた某サイトで、XSSの脆弱性があり、件のoffice氏
からメールで指摘が来たことがあります。
指摘そのものは、役には立ちましたが(苦笑)、かなり失礼というか、「御社
のサイトに脆弱性があったことや、その対応を○月○日に、公表させていた
だきます」と、脅迫紛いの文面に、内心ブチ切れながら、丁寧なお礼の返事を
書いたことがあります(当然、問題点を即座に直してから)。

はっきり言って、office氏の対応次第では、一歩間違えば会社に多大の損害
を与えかねないですし、返答しないのは返答しないのでマズいことが予想され、
返答をするにも、下手なことは書けないので、ともかく慎重にならざるを得ま
せんでしたが、「期限」まで時間もなかったので、そこの部門長と相談のうえ、
あくまで丁寧にお礼を述べ、かつ個人的な見解であることを断ったうえで、
対応を説明しました。
彼のような指摘のメールでは、返事を書くにしても法務部などにチェックを
仰がなければならないと考えて、返答をしないという選択をしても誰も責め
られないでしょう。

こっちは、会社やWebサイトの評判がかかっているのに、彼は office などと
いうふざけた匿名の臆病者で、おまけにすべてにおいて高圧的かつ、見下した
態度（引用したいのですが、それができないのが残念です)でして、まともな
対応をしろというのは、ごく普通の現場担当者には酷というものです。

こう書くと、プロとしていかがなものか？　と書く人が絶対いるかもし
れませんが、すべてのエンジニアが、初めからセキュリティを意識した
コードを書けたわけではないですし、かつてのXSSもそうですが、新た
に指摘された脆弱性は、多くのエンジニアが見落していたことだって
あったはずです。
もちろん、今、XSSの問題を抱えたサイトを作るのは、どうかと思いま
すし、今回のACCSのような脆弱性は「有り得ない」と呆れるくらいです
が、よほどの天才でない限り、CGI覚えたての新米エンジニアが、最初
から、それを分かっているとは思えません(それは、教育の仕方や勉強の
仕方や教材に問題があるといえば、そうなんですが、現実とはそんなもの)。
彼のように、受け取った側が『固まってしまう』ような、やりかたでは、
まったく逆効果です。
本当にセキュリティレベルを向上したいのなら、もっとまっとうに、教育
の機会を提供するとか、ほかのアプローチを考えるべきでした。

会社などの中で仕事をしている人なら、コストなどとの兼ね合いで、
さまざまなトレードオフに悩まされているでしょう。既知のセキュリティ
ホールへの対応は当然するとしても、未知(少なくとも自分達にとって)の
ものに対応する余裕があるかというと、常に十分な対応はできないでしょう。

良くも悪くも、そうした現実を見据えたうえで、前向き、かつ地道な
活動をすべきですが、結局のところ、彼や彼を擁護する人々は、そうした
社会性やバランス感覚が欠如しているのでしょう。
ブタ箱に入れるのではなく、そうした社会性を勉強する経験をさせあげ
たいものです。

# ヤバいけど、昔の話だし、スラドのIDなんて所詮ACみたいなものなので、ID