セキュリティ修正が特許になる 46
ストーリー by kazekiri
一行パッチにもライセンス 部門より
一行パッチにもライセンス 部門より
Anonymous Coward 曰く、
ITproにセキュリティ修正が特許の対象にというなかなか衝撃的な記事が掲載されている。ソフトウェアの脆弱性の発見やセキュリティパッチの提供というのは今でも情報提供者の善意に依存するところが大きいが、最近では脆弱性の発見者が現金を得られるような仕組みも出てきている。そんな中でこの記事では、Intellectual Weaponsという会社が、セキュリティ脆弱性の修正法を開発し、開発した修正法の特許権を取得するという動きにでているらしい。取得できたセキュリティ修正の特許は、修正対象となるソフトウェアのベンダーに 対してライセンス販売するということのようだ。つまり、Windowsの脆弱性を見つけて、その修正方法の特許をMicrosoftに売り付ける ということもできる。
そんなことがスムーズに可能であれば、巨大なソフトウェアを抱えるベンダーの製品にはセキュリティ修整特許狙いの人間が むらがってきそうである。また、オープンソースソフトウェアにはどう対応するのだろうとか、思ってしまうが、何というかおちおちソフトウェアを外に出せない時代がくるのかも?
モノは言いよう (スコア:3, おもしろおかしい)
え?セキュリティーホール?特許?
ははは、何を仰っているんですか、これは仕様です仕様! あなたが仰っているこのroot乗っ取りの脆弱性?でしたっけ? それはこう作ってあるんですから問題ないんです!
あー、でもちょうど仕様変更をしようと思っていたところなんです。ははは。だからバグじゃないって。仕様なんだって!
...だめ?
特許? (スコア:2, すばらしい洞察)
私は、特許にならないような至って普通の方法でセキュリティを修正したいと思います。
# まさか、修正すること自体が特許な訳じゃないでしょう?
「NXビットというものをCPUに扱わせて、
バッファオーバランの問題に対応します」
くらいの対応なら特許になるかもなぁ、とは思いますが
単なるデバッグが、特許になるようだとひどいモンだと思います。
Re:特許? (スコア:1)
実際ソフトウェア特許なんてカスだらけですよ。本当ひどいモンです。
何の生産性も無い特許ゴロが大金を得るための仕組みでしかないです。
単なるデバッグが特許になった方が、まだ実用性/有用性があると言えるでしょう。
実際脆弱性を探して修正方法を提示するには相応の時間と技術がいるわけで、「ノルマなんでとりあえず5分で考えました」みたいなソフトウェア特許にくらべれば随分マシだと思いますよ。
修正パッチだって作成物だから (スコア:1, すばらしい洞察)
追加機能としてのセキュリティであれば特許とするのもそりゃOKなんだろうが、単なるバグなんかの対処なんぞは普通に実装を行う上に置いて当然考えられるべき実装例なんだから、そういうのに特許与えるとトンデモない事に成りそう。
そういうセキュリティ特許ゴロに狙われたら、もうモジュール毎作り直ししか無いって事で、あっちゃこっちゃのプロジェクトで車輪の大再発明大会になっちゃいそうなんだけど。
#オープンソースなんぞ、GPLが成り立たなくなるかもな。
Re:修正パッチだって作成物だから (スコア:2, すばらしい洞察)
どういう状況になる意味で、「成り立たなくなる」と言ってるのでしょうか?
少なくともGPLで公開されているものに対して、パッチが特許と言っても
ライセンス [opensource.jp]違反を行ったとされるのでGPLが成り立たないというよりは、
むしろGPLがパッチ特許ゴロへの防御になると言えるのではないでしょうか。
GPLは、まさにそういう利己主義的行動を牽制するためのものだったと思います。
とすると、善意の人間が無償で仕事をするモデルが時代遅れになり、
クローズドで有償のパッチ提供がとって代わるという意味でしょうか。
その製品の権利を有しているのが1社だけで、製品を売るなりして
利益を上げている主体が明確なプロプライエタリなものに対しては、
対価の請求がしやすいと思いますし、Windows98のようなサポート切れたものへの
独占的なパッチを提供するというモデルもありえると思いますが、
オープンソース製品に対してはその辺りが不明瞭な気がします。
製品やライセンスとか関係ない、製品特化のパッチではなく方法論として、
特許を取ったという場合ならば解りませんが。
まあ、そのへんは具体的な成果物を見てみないとなんとも言えません。
Re:修正パッチだって作成物だから (スコア:2, 興味深い)
仮に修正が特許になったら、
GPLライセンスによって「クローズドで有償のパッチ」が禁じられてるので、
特許ライセンスによって「オープンで無償のパッチ」が禁じられると
だれも修正できなくなり
>#オープンソースなんぞ、GPLが成り立たなくなるかもな。
という状況になります。(いやまあ特許を迂回する別の修正法があればいいですが)
んなことしても特許ゴロの直接的メリットはないでしょうが、総会屋みたく他への見せしめとか競合他社からもらうとか
Re:修正パッチだって作成物だから (スコア:1)
GPLのもとで、まずふたが無償で配布され始める。それから特許ごろが「このふたはうちの特許を侵害している」といちゃもんをつけ、RHとか金の取れそうなところを揺さぶり始める。というふうになる?
そこでとりあえず公式のパッチ公開は中止されるでしょうが、しかしいったん公開されたソフトを絶滅させる方法があるものでしょうか。
もし特許ごろが最初から「このソフトには誰も知らない穴があるが、それをGPLのもとで修正するのはうちの特許を侵害することになる」といった動きになればまた別ですが。
しかしその場合、公式パッチは配布されないにしろ、ソースのバグ部分を指摘すること自体は特許侵害になるとは思えないのですが。そうなると、誰かが修正したソースなりバイナリなりがこそっと出回ることを防ぐ方法があるとも思えません。とはいえこの状態だと既存のディストリビューションをインストールしてそのまま使っているレベルの一般人には、その闇パッチを入手したり適用したりするスキルはないわけですが。
オープンソースは闇にもぐって生存を続ける?
Re:修正パッチだって作成物だから (スコア:0)
>特許ライセンスによって「オープンで無償のパッチ」が禁じられると
>だれも修正できなくなり
よくわからないんだけど、そのパッチはGPLにならないの?
GPLになるなら特許に関係なく自由ならないの?
もし、特許によって自由にさせないというならGPL違反だから、
パッチを作ることさえ許されないのでは?
7項は、先に特許がある場合ならわかりやすいんだけど、
GPLなパッチに特許取る場合はどうなんだ?
Re:修正パッチだって作成物だから (スコア:0)
なりません。
>もし、特許によって自由にさせないというならGPL違反だから、
>パッチを作ることさえ許されないのでは?
許されません。(たぶん正確には、作れるけど配布できない)
>7項は、先に特許がある場合ならわかりやすいんだけど、
>GPLなパッチに特許取る場合はどうなんだ?
GPLなパッチが先ならそれは公知ですから特許は取れません。
困るのは先に特許がある場合、
もっと困るのはGPLなパッチが出回った後でサブマリン特許が出てきた場合。
Re:修正パッチだって作成物だから (スコア:0)
>>パッチを作ることさえ許されないのでは?
>許されません。(たぶん正確には、作れるけど配布できない)
結局、この拘束があるために「GPLは成立しなくなる」という状況は、
次のように、すごく限定された状況でしかないということでしょう。
>困るのは先に特許がある場合、
>もっと困るのはGPLなパッチが出回った後でサブマリン特許が出てきた場合。
でも、前者の場合それは出来るかどうかも解らない製品に有効な「概念」を使った製品
(具体的にコードを修正した「部分」は特許に出来ない、著作権的にGPL違反なのに
Re:修正パッチだって作成物だから (スコア:0)
>ちょっと前なら「サニタイズによりSQLインジェクションを防止する技術」の特許は取得できたかもしれない(最初に思いついた人なら)。
わけで、今後そもそも迂回が困難 or 無理なケースが出てくる可能性はあまり低くないと思います。
Re:修正パッチだって作成物だから (スコア:0)
>わけで、今後そもそも迂回が困難 or 無理なケースが出てくる可能性はあまり低くないと思います。
いや、これは特許にはならんだろ。
使っている単語が新しいだけで、これはただのエスケープだよ。
どうかんがえても既知の技術だ。
Re:修正パッチだって作成物だから (スコア:0)
飽く迄単独で特許を得られるようなソフトであれば派生物ではなく独立したものという事になるでは。
となるとそこのライセンスについては自由になるよな。
Re:修正パッチだって作成物だから (スコア:0)
おっしゃる可能性はビジネスになる可能性ですよね、私GPLの根源にかかわる部分が
成り立たなくなるという意味で言ったのかどうか確認したかったのです。
そもそも、「飽く迄単独で特許を得られるようなソフトであれば派生物ではなく独立したもの」
というのは、Windowsに対するアンチウイルスソフトのようなものになるんじゃないでしょうか。
それはミドルウェアで、パッチとは違うものと定義されると思います。
GPLのOS上で、そういうミドルウェアをリリースする事は全く問題なく、
そういうミドルウェアがビジネスになるのなら却って安心という考えもありえます。
Re:修正パッチだって作成物だから (スコア:0)
Re:修正パッチだって作成物だから (スコア:0)
Re:修正パッチだって作成物だから (スコア:1)
オープンソースを存続させるためには、RMSやコミュニティが
積極的に特許をとって保護していくしかなくなるかも知れませんね。
#もうやってるそうですが。詳しいことはよくわかりません。
発明家や発案者を守るための特許制度の濫用が、
かえって創造の妨げになっているような気しかしません。
Re:修正パッチだって作成物だから (スコア:0)
お金を出した人の権利を守る方向だけに捻じ曲げられた結果でしょう。
ふと (スコア:1, 興味深い)
あるソフトウェアの脆弱性を発見した人が修正方法の特許を取得した。
その人は修正の必要な箇所を公表したがその特許を利用する方法を一切提供せず。
開発者含む他の人間が修正を試みようものなら特許を勝手に使用していると主張。
脆弱性の見付かったソフトウェアは修正の為に該当部分の再発明を余儀なくされ
対応は著しく遅れる。
こういう状況を人為的に作り出す為に競合他社の脆弱性修正特許を買い漁る
メーカーとか出てきそうな気がする。
# 法律は詳しくないのでAC
Re:ふと (スコア:1)
それだと、技術の十分な開示がなされていないので特許としては権利化が難しいかと
ライセンスフィー (スコア:1)
放置したときのコスト
=修正方法をライセンスされたときのコスト
<(ライセンスされたときのコスト+修正方法の案内などをふくめた修正にかかるコスト)
放置した方が得。新サイバーノーガード戦法か。
その発想はなかった・・・が、 (スコア:0)
# 本当に有効な商売になるかどうかを考えるとかなり疑問だけど
まだ運用によるカバーを続けるのか、アーキテクチャの見直しに入るのか、国によって対応が違うにしても、何らかの転機になる可能性はある、のかな。
Re:その発想はなかった・・・が、 (スコア:0)
同様の立法をして広く使われているソフトのセキュリティホールは緊急事態とみなすとか。
#それだけだと判断基準とか誰が判断するのかとか色々と問題がありそうですけど。
新規性はどうなんだろ (スコア:0)
過去のソフトウェアの修正履歴をたどればなにかしら先行事例が見つかりそうなもんだ。
金集めじゃない? (スコア:1, 興味深い)
ある会社の特定のソフトに穴があるからその穴を埋めました、なんてのは
先行例がなくとも当業者であれば容易に思いつくものとして特許にはなりにくいはず。
新しいビジネスに見せかけて投資を受けるのが目的なのかもしれません。
どんなソフトでも自動で脆弱性を見つけて修正する方法、
特定のソフトのセキュリティをより向上させる方法、
なんてものなら、内容によっては特許になるでしょうが。
クラッカーの情報集めでわ? (スコア:0)
ゼロディアタックに使える情報を入手したら裏でクラッキング開始、
表では適当にそれっぽい対応をして、ある程度成果が出たとこで「対策しました」「特許申請しました」etc.
で、しばらくして「金にはなりませんでした」もしくは何もせずドロン。
信用できるかどうかもわからん会社にゼロディアタックに使える情報をわざわざ教えるなんてありえない。
Re:新規性はどうなんだろ (スコア:0)
#かの国では斬新かどうかは審査されない節もある
Re:新規性はどうなんだろ (スコア:2, おもしろおかしい)
Re:新規性はどうなんだろ (スコア:1, おもしろおかしい)
Re:新規性はどうなんだろ (スコア:1)
Re:新規性はどうなんだろ (スコア:0)
その脆弱性を持ったソフト全てから特許使用料を取り立てられますよ。
後から塞いだって侵害してた事実は変わらないし、
自分で探さなくても世界中のハッカーが24時間体制で
特許の侵害を探してくれる。こんな美味しい話無いと思うんだけどなあ。
Re:新規性はどうなんだろ (スコア:1)
Re:新規性はどうなんだろ (スコア:0)
>第二十九条 産業上利用することができる発明をした者は、(中略)、その発明について特許を受けることができる。
Re:新規性はどうなんだろ (スコア:0)
Re:新規性はどうなんだろ (スコア:0)
古い穴なら既に誰か蓋をした事があるでしょう。
別に誰かが蓋の再発明をして特許取ってもいいけど、そしたら古い蓋を使うだけ。
「古い穴」ってのは例えば「バッファオーバーラン」とかね、念の為。
「新規性のある穴」はいつか必ず出てくる (スコア:2, すばらしい洞察)
今後技術が新しくなっていけば、新しいセキュリティホールも生まれつづけ、その対策の中に特許を取得されるものが一定の割合で出てくるというのは、さほど非現実的な話ではないと思う。
タレこみが問題にしているのは、多分、もっと個別の製品に特化した話なのだろうけど、特許としては上記のような漠然としたものの方が怖い。
#技術が出回り始めた時期に特許取得>普及後サブマリンでGoとかさ
Re:新規性はどうなんだろ (スコア:0)
Re:新規性はどうなんだろ (スコア:0)
つまり (スコア:0)
Re:つまり (スコア:1, 興味深い)
特定の脆弱性を突くウイルスをこっそりばらまいて、それに対するセキュリティ修正を特許で縛っておけば…
なんだ (スコア:0)
セキュリティパッチあててないサーバを特許違反で摘発だ! とか期待したのに。
Re:なんだ (スコア:0)
これでセキュリティホールを修正する費用もまかなうことができるはずだ!
#何か違う
##自分でワームを放って利用したんだから払えよ!と言う人がでてきそうw
プログラムには詳しくなくて・・・ (スコア:0)
大本のソースの著作権とかが関係するし、修正部分が目新しくても良くて実用新案?
ソースが公開されていない場合、シンボルファイルがあるか
リバースエンジニアリングしか思いつかないんですが普通は禁止事項ですよね?
それでも一応、修正で特許が取れたとして
別の方法で修正されたら意味ないですよね?
それでは顧客として (スコア:0)
いや、そういうことを言いたくなってきただけです。
GPL (スコア:0)
GPL上のソースを修正するとなるとその修正されたソースもGPLの
ライセンスに依存してしまうわけでそのGPLライセンスのソフトの
修正で特許をとって売ろうとしてもGPL縛りで修正ソースはGPLになり
公開義務が発生してって・・・・あれ?
どうなるんだ?書いていて頭の仲がややっこしくなってしまった。
シロートの推測ですが (スコア:0)
#悪夢みたいな仮定だな
まず、特許に引っ掛からない(受け入れデータ長の制限によるバッファオーバーフロー防止を行っていない)GPLソフトウェアには何の影響もありません。引っ掛かるものについては、それまでに使用した分の特許料を支払うことになるでしょう。
そのうえで、特許に引っ掛かる部分を削除してから改めてGPLでリリースするのは問題ありません。特許に引っ掛かる部分を削除しないままリリースを続けようと思ったら、リリースしようとする人が特許権からの許諾を(恐らくはお金を払って)得る必要があると思われます。
ただし、特許権の所有者自身が特許に引っ掛かるソフトウェアをGPLでリリースしていた場合、使っていいといわれたものをライセンスに従って使う分には問題にならない(GPLでリリースした時点で特許権の実施も許諾している)と思われます。
#以前SCOが突付かれた問題