パスワードを忘れた? アカウント作成
10966074 story
ビジネス

McAfee、ライセンス契約を結ばずにオープンソースの脆弱性データベースから大量の脆弱性情報を取得する 70

ストーリー by headless
無断 部門より
Open Source Vulnerability Database(OSVDB)では、ボランティアモデルによる運営が十分に機能していないため、非商用の個人に限ってデータを無償で提供しており、それ以外はライセンス契約が必要となっている。しかし、ライセンス契約を結んでいない組織によるデータの取得が増加しており、先日はMcAfeeによる2,000件以上の無断データ取得も確認されたそうだ(OSVDBのブログ記事The Registerの記事本家/.)。

McAfeeは昨年、商用利用に関する問い合わせをOSVDBにしていたが、処理が完全には自動化されていない点に難色を示したそうだ。OSVDBでは30日間のトライアル期間を提案したが、McAfeeが受け入れることはなく、話はそれで終わりになったという。しかし、5月4日になってMcAfeeのIPアドレスからリクエストが送信され始めたとのこと。リクエストは4日の6時25分24秒から6日の21時18分26秒まで続き、計2,219件の脆弱性情報が取得されたとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • TIEとVirusTotal (スコア:2, 参考になる)

    by Anonymous Coward on 2014年05月10日 20時59分 (#2598082)

    新製品McAfee Threat Intelligence Exchangeの「ワンクリックでVirusTotalとMcAfee GTIの連携を実行でき」っていうのはどうなんだろうか。
    http://b2b-download.mcafee.com/products/japan/pdf/enterprise/1403_DS_T... [mcafee.com]

  • なんにしてもセキュリティ企業としてありえない行為をしてるな。

    --

    ψアレゲな事を真面目にやることこそアレゲだと思う。
    • by Anonymous Coward

      ジョン・マカフィーさん、今どこに収監されているんでしょうね? (グアテマラ?)

    • by Anonymous Coward

      インテルに買収されてから色々とおかしい感じですね。

      • by Anonymous Coward

        買収される前からMcAfeeは悪質な企業だよ

        • by Anonymous Coward on 2014年05月10日 20時18分 (#2598065)

          McAfee Security Plusとか一般人が気がつかないうちに仕込むのは勘弁してくれ。
          最近、知り合いのパソコンの調子が悪いと言われて調べてみると大抵コレ。

          その片棒を担いでいるAdobeも酷いもんだ。

          親コメント
          • by Anonymous Coward

            Google Toolbarとか、Chromeも。

          • by Anonymous Coward

            McAfee Security Plus
            Google Chrome
            Yahooツールバー

            この辺がインストールさせるのを禁止する設定ってできないですかね

            • by dark_green (28724) on 2014年05月11日 7時48分 (#2598206) 日記
              ツールバーはグループポリシーでサードパーティ製のブラウザー拡張を無効にしてます。
              親コメント
            • by Anonymous Coward

              そういうフリーソフトがあれば喜ばれるだろうなぁ。

              そしてそのフリーソフトのインストール時デフォルトオプションにBaidu IMEが。。。(ぉぃ

            • by Anonymous Coward

              あとGoogleツールバーもね

              もうここら辺は全部ウィルスと同類だと思ってる

          • by Anonymous Coward

            気づかずに入れて、自分が買ってインストールした物とバッティングしてプチフリ
            修理に出してきてこちらが説明すると「そんなもの入れた覚えはない、そっちが入れたんだろう」と騒ぐ客と一緒に
            滅んで欲しいです。McAfee Security Plusは。

        • by Anonymous Coward

          最近フリーソフトにこそっとインストールオプションついてるのはMcAfeeがめだちますね
          あとずいぶん前はMcAfeeつかっていたんですが、当時から自動延長のみで解約は手書きのメールをサポートに送る(解約フォームみたいなのが無い)と嫌らしいところがありました

  • 買収されて最低限の金はあると思うんだけど。

    なにやってるんだか。

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2014年05月10日 20時28分 (#2598071)

    何かもやもやしてうまく気持ちを自分にさえ言葉として表せなかったのだけれど
    その一面を代弁してくれるのがあったから、紹介だけ

    http://blog.erratasec.com/2014/05/no-mcafee-didnt-violate-ethics-scrap... [erratasec.com]

    あとブログのコメントにも興味深い反応が書いてあった
    自分の自己の言語能力というか表現能力の低さを思い知らされた。

    • by melorec (46666) on 2014年05月10日 21時27分 (#2598093)
      特に「Public information is public」を繰り返していますね。
      そのブログに書いてある理屈は確かに正しくて、脳みそでは理解できるのですけど
      robots.txt なりなんなりで、超広義でのアクセス権限管理がなされてないのが
      そのリソースに誰もが自由にアクセスしても良いことを表しているのだ、とも読めてしまう主張は
      セキュリティ関連会社を擁護する主張として、ちょっとまずいんじゃ……と感覚的に思ってしまいます。
      これをめいっぱい拡大解釈すれば「管理不備でクラックされた方が悪い」に繋がりそう。

      ともあれ、なにがしかをネットで不特定多数に向けて公開している者は、
      その不特定多数の中の特定の他者からの被参照の可否を選択したいのであれば
      ちゃんとその仕組みを用意しなくちゃいけないし、
      またそれを完璧に行うのは難しいことを自覚してなきゃいけないのでしょうが、
      アクセスした側からそれを言われちゃうと、なんだか感情として嫌だよね、って感じ。
      親コメント
      • by Anonymous Coward on 2014年05月10日 22時53分 (#2598140)

        野菜の無人販売所みたいなものかね。
        誰でも手に取れるけど、取る・使う権利を与えているわけじゃない。
        Microsoftのパッチとかもそうかな?

        親コメント
        • by Anonymous Coward on 2014年05月10日 23時42分 (#2598156)

          ホームレス相手に行う救世軍の炊き出しに、懐に余裕のある奴が並ぶようなものかな

          親コメント
          • > 野菜の無人販売所みたいなものかね。
            > ホームレス相手に行う救世軍の炊き出しに、懐に余裕のある奴が並ぶようなものかな

            あ、2つともとても良い比喩だと思います。
            それならば「Public information is public.」(公開情報は公のもの)に対して、
            「空気読めよ」、「節度ってもんがあるだろ」と言えますね。
            すると今度は「空気」と「節度」の主体の定義問題が発生しちゃうのかな?
            こうなると「正義とはなんぞや」論に近しい様相を帯びますね。

            でもやっぱり、McAfee 感じ悪い。

            親コメント
            • by Anonymous Coward

              >> 野菜の無人販売所みたいなものかね。
              >> ホームレス相手に行う救世軍の炊き出しに、懐に余裕のある奴が並ぶようなものかな
              > あ、2つともとても良い比喩だと思います。

              いえいえ、2つめは単に節度の問題ですが、1つめは完全に違法です。

              オープンソースソフトウェアは公開されていますが、だからといってライセンスに反する使い方をしてよいということではありません。

    • by Anonymous Coward

      一面とおっしゃるが、色々なことが書いてある気がしますぞ。

      • 公開しているものにアクセスされて文句言うなよ、ということ
      • 自分の利便のためとか友人なら無問題と言うのに同じことを嫌いな人がやったら文句言うのか、ということ
      • アクセスした情報を再公開したり商売に使ったりした証拠はないということ
      • Openという名前で、robots.txtも付けてないで何言ってんだ、ということ

      どのあたりなのかな。

    • by Anonymous Coward

      違法じゃないから他人の善意を大企業が踏みにじって食い物にして私腹を肥やしてもモラル的に問題ないんだ!って主張ですね。

    • by Anonymous Coward

      法的にどうかどかそういう話ではなく、
      McAfeeのやり方が、道徳的に良いものかどうかってことじゃないか。

      先日のHeartBleedの剣もそうだが、セキュリティ企業ってのは、
      オープンソースにはフリーライドするだけで、ケチはつけるが、
      その安全性を高めることには一切貢献してない。

      • by Anonymous Coward

        > 法的にどうかどかそういう話ではなく

        そもそも違法だと思う。

        ライセンスを守らないで使ってるってことだから、著作権を侵害しているのでは。

  • 集めた脆弱性情報が使われれば、だれが広めたかに関係なく、安全向上に役立ったのだから良いとはならないのかな
    そこから利益を得ると、広まることの意義は消えるものなのかな。
    欲しい人はだれでもとってこれる。情報をMcAfeeが独占してるわけでもないよね。
    やりたいことは安全向上に寄与したいことなのではないのか?それは業務利用を禁止したい欲求よりも下位?

    • その理屈が通るなら,McAfeeも違法コピーされていいことになるよ.

      他人の畑に勝手に上がり込んで,「有意義に消費してやる」って言って青果物を奪っていくようなもの.相手が「余ったのでどうぞ」っていうなら貰ってもいい.

      親コメント
    • 安全向上に寄付したい・・・という名目で手伝っている人もいるだろうけど、
      OSVDBに関していえばボランティアモデルが成立しておらず、技術者にお金を払って解析結果を収集している。
      実際に複数のセキュリティ企業とライセンス契約を結んで”商売”しているわけだから、
      McAfeeのような大手が契約未締結のままで、データを無断使用したとなると、

      「個人利用のみ無償でOKって書いてあるけど、McAfeeだって無視したんだし、うちの会社もそうしよう」

      という流れになりかねないでしょ。
      この状況でMcAfeeを擁護するのは、同じように”個人利用のみ無償”なライセンス形態の存在を否定する
      (おそらく「個人利用も禁止」となる)
      立場でなければ、あまり良いとは思えないな。

      親コメント
    • 正しい目的のためにはあらゆる手段は正当化される、って事にはならんからねえ。

      --
      ぽぇんぷしゅう。
      親コメント
    • by Anonymous Coward

      共産主義、
      でもない。
      強いて言えば共有主義?
      自分の家をホームレスに開放でもしてから言ってみれば?

    • by Anonymous Coward

      GPLはまさに成果を使って儲けても構わないよと言ってますね
      目的が成果の共有だから。
      共有が目的なので、共有する行為に余計な価格を乗せてはならないとなりますが。
      ここでは普通の所有欲が表されているのでしょう。無料にするけど儲けるのはだめだよ です。

      • >共有する行為に余計な価格を乗せてはならないとなりますが。
        そんなことは言ってない

        私たちがフリーソフトウェアと言うとき、それは利用の自由について言及して いるのであって、価格は問題にしていません。私たちの一般公衆利用許諾契約 書は、あなたがフリーソフトウェアの複製物を頒布する自由を保証するよう設 計されています(希望に応じてその種のサービスに手数料を課す自由も保証さ れます)。

        v3 だとバイナリとソースを別配布にするときだけ、「ソース」に「余計な価格を乗せてはならない」

        6-b) (略)『対応するソース』のコピーを、ソフトウェアのや りとりで一般的に使われる耐久性のある物理的媒体で頒布(略)物理的にこのソースの伝達を行うのにかかる正当なコスト以上の価 格を要求してはならない。
        6-d) (略)指定の場所から複製するためのアクセスを提供することによって伝達(略)伝達は無料でも手数料を課しても構わないが、『対応するソース』に対して追加的な課金を行っ てはならない。

        つまり
        バイナリが 1万円でソースが100万円はNG
        バイナリとソースがセットで101万円はOK

        親コメント
  • チェックボックスを外すのをうっかり忘れるとインストールされる…
    知らずに入っている人は多そう。

  • by Anonymous Coward on 2014年05月10日 17時31分 (#2598000)

    なんかつい最近似たような記事を見たような

  • by Anonymous Coward on 2014年05月10日 22時35分 (#2598129)

    他でも言及されてるけど、あえてトップレベルコメントで書く。

    あんなPUP入れる会社なんだから、推して知るべしだよね。Intelももう少し賢い買い物をすべきだと思う。程度が知れるぞ。

  • by Anonymous Coward on 2014年05月11日 0時40分 (#2598171)

    ということで、来週リードの展示会があって、組み込み系のところでインテルブースにもマカフィーが出てますし、マカフィーもセキュリティのところでブース構えてます。

    ※本社がやった話を日本で言われても困るって言われるのもわかるけど、まあタイミングが悪い。

  • by Anonymous Coward on 2014年05月11日 12時42分 (#2598247)

    オープンプロキシ通すとか、個人名義で契約したISPでやるとか、あるだろうに。
    最低限の対策はしてたのにばれちゃった、って話じゃないよね?

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...