脆弱性をことさらに大げさに喧伝する連中と、そうでない者を、今後どうやって選別していけばいいだろうか。
japan.zdnet.com
こういったあやしい企業の宣伝目的のレポートがあるかと思えば、Intelの「Spectre」「Meltdown」のような本当の発見もある
研究者にとって、レポートの反響が大きければ大きいほど自分の名誉や出世に直結する。企業であれば、それはなによりも最高のマーケティング手段だ。
自分にいわせれば先日のWi-Fi KRACKsも似たようなものだ。このレポートの巧妙な点は、キーがゼロクリアされるLinuxドライバの本当のバグ(直ちに脆弱性に直結する)と、nonceが再利用されるという、それだけのことを、1つのレポートに入れて同等に扱ってしまっていることだ。
「セキュリティの研究」は聖人君主が行う崇高な作業などではなく
明らかなモラル・ハザードが存在する
ということを、われわれは常に意識して接するべきだ。
