Galaxy Lab

スマートフォン IT モバイルなどのニュースや活用情報

ニュース

[News]バグうんぬんよりもその後の削除騒動の真相の方が衝撃的すぎて全然話が入ってこない:「Simeji」は本当にアブないアプリなのか? ホワイトハッカーが厳しくチェックした結果……

企業がプログラムのバグを探す場合、外部のセキュリティ会社の専門家に診断を依頼するのが一般的ですが、2000年代初頭から大手IT企業がバグ報奨金プログラムを採用し始め、徐々にメジャーになってきました。

 ただ、人材や予算を確保しにくい企業にとって、バグ報奨金プログラムの導入はハードルが高い。それをサポートするため、スプラウトはバグ報奨金プラットフォーム「BugBounty.jp」を立ち上げました。バイドゥさんとは正式サービス開始後の第1弾として、今回の「Simeji」を対象に3カ月間プログラムを運営させていただきました。
(略)
今回のプログラムでは、「スマホの乗っ取りが可能かどうか」「パーミッション(許可)を取得しているもの以外の情報取得が可能か」「『Moplus SDK』が使用されているか」という3つの項目をチェックしています。これがSimejiに対して持たれている懸念なのでしょうか。

「Simeji」は本当にアブないアプリなのか? ホワイトハッカーが厳しくチェックした結果……

個人的には「入力した情報をどこかにこっそりアップロードしてるんじゃないか」という懸念が一番強いんですけど。
そのあたりは調べてもらえないのでしょうか。
百度、スマホ用日本語入力アプリの「不正送信」を修正
こういう調査も大切だとは思うのですが、個人的に一番気になったのはこの後の発言です。

Baidu IMEとSimejiに関する「はてな」のブログ記事を削除するよう申立てた件ですね。すぐ取り下げたそうですが。

高橋氏 はい。この度は本当に申し訳ありませんでした。掲載内容の確認が不十分でご迷惑をおかけし、この場であらためておわび申し上げます。
(略)
ちなみに、削除依頼を含めた一連の対応は全て日本でやっています。日本のユーザーの皆さまに愛していただいていることを日々実感しているのは日本のメンバーですので。本社の指示でしているわけではありません。今回もすぐ撤回できたのはそのためです。

バグ報告プログラムの間にさらっと書かれていますが(汗)
はてなブログに書かれていた百度とsimejiのこれまでの騒動をまとめた記事に対して百度が削除依頼を出したという件ですね。

つまり今回の削除依頼の一件は中国の本社が指示してやらせたことではなく、日本の人たちが自分たちの判断でやったことだといういうわけですね。
江戸の仇を長崎でとられたというか、意外なところから犯行声明(比喩表現)が出されて驚いています。
結構皆「中国的やり口」というような事を言っていたように思いますが、そうではなかったわけです。

ちなみにうちのサイトにも削除依頼は来ています。

百度関連の記事でいわゆる削除依頼が来た

いやまぁ、あの削除依頼自体はまったくもって正しいと思っていますよハイ。

何といいますか、日本人たちが主体で今回の一連の騒動の旗振っていたというのを問題だと感じる人は多いと思いますが、すぐに撤回出来たのは日本でやってたからですというのは別にメリットでも何でもないと思います。
そういう感性自体が少しずれているような気がします。

ITメディアも良く聞いたなぁと思ったのが以下の質問。

なるほど。バグ報奨金プログラムの件に戻りますが、開発者も気が付かないバグではなく、意図的に仕込まれたバックドアなどへの不安もあります。BugBounty.jpではそうしたものも見つけられるのですか?

小西氏 結論から言うと、発見される可能性は高いと考えます。開発側が意図的にバックドアを仕込むケースは少し現実的ではないですが、そういうものも含め、利用者が意図しないセキュリティ上の問題が含まれていれば、たとえそれが仕様であっても脆弱性と見なされて報告されるでしょう。

開発側がバックドアを仕込むのは現実的ではないそうです。
言葉の意味はよくわからんが、とにかく凄い自信ですね。
話の流れとは全く関係ありませんが、百度関連のうちのサイトのニュースのURLを置いておきますね。

[News]文字入力ソフトsimejiで問題になった百度、SDKにバックドア的な何かが見つかるの巻

開発側がバックドアを仕込むのは現実的ではない。
私も全くその通りだと思います。

たとえ事実がどうであったとしても。

-ニュース