04/01/21 11:35
いろいろ情報を総合してみると、こんなところだったんじゃないかなあと思う。
(1) 2002年ごろ(?)、旧CGIがセキュリティのことを何も考えずに作られたものだと気付いた。(「洗浄不足」と認識。)
(2) ただし、具体的にどんなセキュリティホールがあるかは調査しなかった。
(3) 新CGIを開発し、旧CGIはサポート外(オリジナルCGI扱い)とすることを決定。
(4) 2003年3月25日、旧CGIを7月31日以降「オリジナルCGI扱いに変更」とユーザに告知。
(5) 8月11日、「セキュリティ上の問題が発見されない限り、そのまま継続してご利用頂く事は可能」と告知。
セキュリティホールが発見される可能性は十分にあると認識していたが、具体的には調べなかった。
「発見された場合は、告知なしに緊急停止」することもあるというサポート体制。
(6) 11月10日(?)、セキュリティホールの存在を具体的に認識。
森川氏がoffice氏に「洗浄不足は認識していた」(?) と発言(?)
(7) 11月11日(?)、緊急暫定対策版に差し替え。
脆弱性がありそうと認識したから新版を用意したという状況で、
具体的な脆弱性は認識しないまま、脆弱性の調査をせずに、
そのまま使わせていた
ということが、法的責任をどの程度追及できるかかなあ。
こういう対応ってありがちだと思うんだけど、こういう対応で困るのは皆なんだから、
法廷で争って良い判例を残してほしい。
参考引用
URLリンク(itpro.nikkeibp.co.jp)
予見できる欠陥は,製品出荷前に修正すべきである。これを怠り,欠陥を残したソフトウェアを
そのまま販売したのなら,メーカに過失があると考えられる。この場合は,不法行為責任を根拠に
メーカを訴えられる注12)。ただしその欠陥が一般的に予見できないものと判断されれば,メーカ
に過失はないことになり,責任は問われない可能性が高い。
過去に発覚していたセキュリティ・ホールを放置し,次のバージョンでも修正しなかったとしたら,
ソフトウェア・メーカの責任を問える可能性がある。この時,セキュリティ・ホールがどんなものか
も判断の材料となる。放置して何も影響がないものよりも,重大な損害を巻き起こす恐れのある
セキュリティ・ホールの方が,問われる責任は大きい。