McAfee、ライセンス契約を結ばずにオープンソースの脆弱性データベースから大量の脆弱性情報を取得する 70
ストーリー by headless
無断 部門より
無断 部門より
Open Source Vulnerability Database(OSVDB)では、ボランティアモデルによる運営が十分に機能していないため、非商用の個人に限ってデータを無償で提供しており、それ以外はライセンス契約が必要となっている。しかし、ライセンス契約を結んでいない組織によるデータの取得が増加しており、先日はMcAfeeによる2,000件以上の無断データ取得も確認されたそうだ(OSVDBのブログ記事、
The Registerの記事、
本家/.)。
McAfeeは昨年、商用利用に関する問い合わせをOSVDBにしていたが、処理が完全には自動化されていない点に難色を示したそうだ。OSVDBでは30日間のトライアル期間を提案したが、McAfeeが受け入れることはなく、話はそれで終わりになったという。しかし、5月4日になってMcAfeeのIPアドレスからリクエストが送信され始めたとのこと。リクエストは4日の6時25分24秒から6日の21時18分26秒まで続き、計2,219件の脆弱性情報が取得されたとのことだ。
McAfeeは昨年、商用利用に関する問い合わせをOSVDBにしていたが、処理が完全には自動化されていない点に難色を示したそうだ。OSVDBでは30日間のトライアル期間を提案したが、McAfeeが受け入れることはなく、話はそれで終わりになったという。しかし、5月4日になってMcAfeeのIPアドレスからリクエストが送信され始めたとのこと。リクエストは4日の6時25分24秒から6日の21時18分26秒まで続き、計2,219件の脆弱性情報が取得されたとのことだ。
TIEとVirusTotal (スコア:2, 参考になる)
新製品McAfee Threat Intelligence Exchangeの「ワンクリックでVirusTotalとMcAfee GTIの連携を実行でき」っていうのはどうなんだろうか。
http://b2b-download.mcafee.com/products/japan/pdf/enterprise/1403_DS_T... [mcafee.com]
これって窃盗?不正アクセス? (スコア:1)
なんにしてもセキュリティ企業としてありえない行為をしてるな。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
ジョン・マカフィーさん、今どこに収監されているんでしょうね? (グアテマラ?)
Re: (スコア:0)
インテルに買収されてから色々とおかしい感じですね。
Re: (スコア:0)
買収される前からMcAfeeは悪質な企業だよ
McAfee Security Plus (スコア:1)
McAfee Security Plusとか一般人が気がつかないうちに仕込むのは勘弁してくれ。
最近、知り合いのパソコンの調子が悪いと言われて調べてみると大抵コレ。
その片棒を担いでいるAdobeも酷いもんだ。
Re: (スコア:0)
Google Toolbarとか、Chromeも。
Re: (スコア:0)
McAfee Security Plus
Google Chrome
Yahooツールバー
この辺がインストールさせるのを禁止する設定ってできないですかね
Re:McAfee Security Plus (スコア:1)
Re: (スコア:0)
そういうフリーソフトがあれば喜ばれるだろうなぁ。
そしてそのフリーソフトのインストール時デフォルトオプションにBaidu IMEが。。。(ぉぃ
Re: (スコア:0)
あとGoogleツールバーもね
もうここら辺は全部ウィルスと同類だと思ってる
Re: (スコア:0)
気づかずに入れて、自分が買ってインストールした物とバッティングしてプチフリ
修理に出してきてこちらが説明すると「そんなもの入れた覚えはない、そっちが入れたんだろう」と騒ぐ客と一緒に
滅んで欲しいです。McAfee Security Plusは。
Re: (スコア:0)
最近フリーソフトにこそっとインストールオプションついてるのはMcAfeeがめだちますね
あとずいぶん前はMcAfeeつかっていたんですが、当時から自動延長のみで解約は手書きのメールをサポートに送る(解約フォームみたいなのが無い)と嫌らしいところがありました
Intel (スコア:1)
買収されて最低限の金はあると思うんだけど。
なにやってるんだか。
M-FalconSky (暑いか寒い)
Re:Intel (スコア:1)
なんか違うよと思った (スコア:1)
何かもやもやしてうまく気持ちを自分にさえ言葉として表せなかったのだけれど
その一面を代弁してくれるのがあったから、紹介だけ
http://blog.erratasec.com/2014/05/no-mcafee-didnt-violate-ethics-scrap... [erratasec.com]
あとブログのコメントにも興味深い反応が書いてあった
自分の自己の言語能力というか表現能力の低さを思い知らされた。
Re:なんか違うよと思った (スコア:3, 参考になる)
そのブログに書いてある理屈は確かに正しくて、脳みそでは理解できるのですけど
robots.txt なりなんなりで、超広義でのアクセス権限管理がなされてないのが
そのリソースに誰もが自由にアクセスしても良いことを表しているのだ、とも読めてしまう主張は
セキュリティ関連会社を擁護する主張として、ちょっとまずいんじゃ……と感覚的に思ってしまいます。
これをめいっぱい拡大解釈すれば「管理不備でクラックされた方が悪い」に繋がりそう。
ともあれ、なにがしかをネットで不特定多数に向けて公開している者は、
その不特定多数の中の特定の他者からの被参照の可否を選択したいのであれば
ちゃんとその仕組みを用意しなくちゃいけないし、
またそれを完璧に行うのは難しいことを自覚してなきゃいけないのでしょうが、
アクセスした側からそれを言われちゃうと、なんだか感情として嫌だよね、って感じ。
Re:なんか違うよと思った (スコア:1)
野菜の無人販売所みたいなものかね。
誰でも手に取れるけど、取る・使う権利を与えているわけじゃない。
Microsoftのパッチとかもそうかな?
Re:なんか違うよと思った (スコア:1)
ホームレス相手に行う救世軍の炊き出しに、懐に余裕のある奴が並ぶようなものかな
Re:なんか違うよと思った (スコア:1)
> 野菜の無人販売所みたいなものかね。
> ホームレス相手に行う救世軍の炊き出しに、懐に余裕のある奴が並ぶようなものかな
あ、2つともとても良い比喩だと思います。
それならば「Public information is public.」(公開情報は公のもの)に対して、
「空気読めよ」、「節度ってもんがあるだろ」と言えますね。
すると今度は「空気」と「節度」の主体の定義問題が発生しちゃうのかな?
こうなると「正義とはなんぞや」論に近しい様相を帯びますね。
でもやっぱり、McAfee 感じ悪い。
Re: (スコア:0)
>> 野菜の無人販売所みたいなものかね。
>> ホームレス相手に行う救世軍の炊き出しに、懐に余裕のある奴が並ぶようなものかな
> あ、2つともとても良い比喩だと思います。
いえいえ、2つめは単に節度の問題ですが、1つめは完全に違法です。
オープンソースソフトウェアは公開されていますが、だからといってライセンスに反する使い方をしてよいということではありません。
Re: (スコア:0)
一面とおっしゃるが、色々なことが書いてある気がしますぞ。
どのあたりなのかな。
Re: (スコア:0)
違法じゃないから他人の善意を大企業が踏みにじって食い物にして私腹を肥やしてもモラル的に問題ないんだ!って主張ですね。
Re: (スコア:0)
法的にどうかどかそういう話ではなく、
McAfeeのやり方が、道徳的に良いものかどうかってことじゃないか。
先日のHeartBleedの剣もそうだが、セキュリティ企業ってのは、
オープンソースにはフリーライドするだけで、ケチはつけるが、
その安全性を高めることには一切貢献してない。
Re: (スコア:0)
> 法的にどうかどかそういう話ではなく
そもそも違法だと思う。
ライセンスを守らないで使ってるってことだから、著作権を侵害しているのでは。
集めた情報が使われれば幸せになるのだからいいのでは (スコア:1)
集めた脆弱性情報が使われれば、だれが広めたかに関係なく、安全向上に役立ったのだから良いとはならないのかな
そこから利益を得ると、広まることの意義は消えるものなのかな。
欲しい人はだれでもとってこれる。情報をMcAfeeが独占してるわけでもないよね。
やりたいことは安全向上に寄与したいことなのではないのか?それは業務利用を禁止したい欲求よりも下位?
Re:集めた情報が使われれば幸せになるのだからいいのでは (スコア:4, すばらしい洞察)
他人の畑に勝手に上がり込んで,「有意義に消費してやる」って言って青果物を奪っていくようなもの.相手が「余ったのでどうぞ」っていうなら貰ってもいい.
Re:集めた情報が使われれば幸せになるのだからいいのでは (スコア:3, おもしろおかしい)
「ウィルスソフト」を違法コピーして配っても,誰も喜ばないと思うんですが
Re:集めた情報が使われれば幸せになるのだからいいのでは (スコア:4, すばらしい洞察)
安全向上に寄付したい・・・という名目で手伝っている人もいるだろうけど、
OSVDBに関していえばボランティアモデルが成立しておらず、技術者にお金を払って解析結果を収集している。
実際に複数のセキュリティ企業とライセンス契約を結んで”商売”しているわけだから、
McAfeeのような大手が契約未締結のままで、データを無断使用したとなると、
「個人利用のみ無償でOKって書いてあるけど、McAfeeだって無視したんだし、うちの会社もそうしよう」
という流れになりかねないでしょ。
この状況でMcAfeeを擁護するのは、同じように”個人利用のみ無償”なライセンス形態の存在を否定する
(おそらく「個人利用も禁止」となる)
立場でなければ、あまり良いとは思えないな。
Re:集めた情報が使われれば幸せになるのだからいいのでは (スコア:1)
正しい目的のためにはあらゆる手段は正当化される、って事にはならんからねえ。
Re: (スコア:0)
共産主義、
でもない。
強いて言えば共有主義?
自分の家をホームレスに開放でもしてから言ってみれば?
Re:集めた情報が使われれば幸せになるのだからいいのでは (スコア:1)
「統合思想」ってやつでは…。
# 内容については「ゼロ」で多少言及があります。
Jubilee
Re: (スコア:0)
GPLはまさに成果を使って儲けても構わないよと言ってますね
目的が成果の共有だから。
共有が目的なので、共有する行為に余計な価格を乗せてはならないとなりますが。
ここでは普通の所有欲が表されているのでしょう。無料にするけど儲けるのはだめだよ です。
Re:集めた情報が使われれば幸せになるのだからいいのでは (スコア:1)
>共有する行為に余計な価格を乗せてはならないとなりますが。
そんなことは言ってない
v3 だとバイナリとソースを別配布にするときだけ、「ソース」に「余計な価格を乗せてはならない」
つまり
バイナリが 1万円でソースが100万円はNG
バイナリとソースがセットで101万円はOK
Flashをインストールすると勝手にインストールされる奴か (スコア:1)
チェックボックスを外すのをうっかり忘れるとインストールされる…
知らずに入っている人は多そう。
デジャヴ (スコア:0)
なんかつい最近似たような記事を見たような
Re:デジャヴ (スコア:1)
なんかつい最近似たような記事を見たような
Baiduと顔文字?
Re: (スコア:0)
マカフィーも同じレベルの会社ってことか。
残念な話だね。
Re:デジャヴ (スコア:4, おもしろおかしい)
『BaiduがMcAfeeと同レベルになった』と書くと喜ばしく見えるふしぎ。
Intel Insane (インテル狂ってる) since 1994 (スコア:0)
McAfeeは2011.3月からインテルの100%子会社
McAfee security plusだっけ、PUP入れる企業だから。 (スコア:0)
他でも言及されてるけど、あえてトップレベルコメントで書く。
あんなPUP入れる会社なんだから、推して知るべしだよね。Intelももう少し賢い買い物をすべきだと思う。程度が知れるぞ。
こういうのは直接言わないとダメ (スコア:0)
ということで、来週リードの展示会があって、組み込み系のところでインテルブースにもマカフィーが出てますし、マカフィーもセキュリティのところでブース構えてます。
※本社がやった話を日本で言われても困るって言われるのもわかるけど、まあタイミングが悪い。
Re:こういうのは直接言わないとダメ (スコア:1)
「部署が違うから言われても困る」
「何が悪い」
この内のどれでしょうか。
Re: (スコア:0)
いいんじゃないですか
それも仕事の内ですし、そういうことも有るかもしれないと入社時に想定くらいしていたでしょうから
なんでばれるようにやるかな (スコア:0)
オープンプロキシ通すとか、個人名義で契約したISPでやるとか、あるだろうに。
最低限の対策はしてたのにばれちゃった、って話じゃないよね?
Re: (スコア:0)
>OSVDBでは30日間のトライアル期間を提案したが、McAfeeが受け入れることはなく、話はそれで終わりになったという。
>しかし、5月4日になってMcAfeeのIPアドレスからリクエストが送信され始めたとのこと。
契約蹴ったのはMcAfeeの方のようですけど?
Re: (スコア:0)
McAfee側の条件を全部受け入れて契約しないと「ビジネスライク」ではないと?
「オプソコミュニティ」を「色眼鏡で見る癖」でもお持ちですか?
Re:処理が完全には自動化されていない (スコア:1)
それは「McAfeeの態度の結果McAfeeはOSVDBのデータを使えなかった」とも言えます。
Re:処理が完全には自動化されていない (スコア:1)
相手がこちらの求める条件で商品を販売しなかったかr強奪してやった、という
泥棒の論理に聞こえる。
Re: (スコア:0)
MAcAfee側は相手の話を全く聞いてませんが問題ないんですか?
傲慢ですね