Windowsの「ブラックスクリーン・オブ・デス」に関する報道は、かなり誇張されており、言及する価値もほとんどないようです。この問題を取り巻くFUD(恐怖、不確実性、疑念)とセンセーショナリズムは、現時点では実際のブラックスクリーン・オブ・デスよりも大きな話題となっており、明確なコミュニケーションと倫理的な情報開示の必要性を浮き彫りにしています。
脆弱性研究は、自慢できる権利をめぐる競争です。新たな欠陥、特にWindows 7に影響を与えるとされる欠陥を最初に発表する競争は熾烈であり、今回のケースのように、残念な結果を招く可能性があります。
FUDとセンセーショナリズム
Prevxがブラックフライデーに最初に投稿したブログ記事では、「数百万台」のWindows 7、Vista、XPシステムがブラックスクリーン問題の影響を受けており、この問題はMicrosoftが11月のパッチ火曜日にリリースしたアップデートによって引き起こされていると主張していました。しかし、どちらの主張も真実ではないことが判明しました。
セキュリティソフトウェアベンダーSophosのシニアテクノロジーコンサルタント、グラハム・クルーリー氏は、「PrevXの最初のブログ投稿は確かに残念なものだったようです。この問題が「数百万人」のWindowsユーザーに影響を与える可能性があるという主張は、明らかに的外れでした。実際、ジャーナリストからこの件について電話で質問されたとき、私はただ首をかしげながら、お客様から問題の報告は一切受けていないと答えるしかありませんでした」と述べています。
Prevxのような評判の高い組織は、脆弱性の倫理的な開示に関して暗黙のルールに従うことが求められています。これまでの報道では、PrevxがMicrosoftに連絡を取らずに脆弱性を公表したことで、これらのルールに違反した可能性が示唆されています。
緊急性と善意のバランス
しかし、クルーリー氏は、物事は必ずしもそう単純ではないと指摘する。「国民に脅威を警告することと、事実を徹底的に検証することの間で、適切なバランスを取るのは常に難しい課題です。今回の件でPrevX社が問題を誤解していたことは明らかです。しかし、私たちは彼らを、一度の失策ではなく、エラー発生後の対応によって評価すべきです。」
彼はさらにPrevxを擁護し、「彼らがブログ投稿前にMicrosoftに連絡を取り、Microsoftの回答を待たずに済ませたのかどうかは分かりません。しかし、彼らが目にしていた「黒い画面」の原因はMicrosoftのソフトウェアの問題だと本気で信じ、人々に誠実に警告を発していたことは確かです」と述べた。
被害は既に発生
Prevxは評判の良い情報セキュリティ企業なので、善意からそうした、あるいは少なくともFUDとセンセーショナリズムは正直なミスだったと考えるのが妥当でしょう。しかし、FUDとセンセーショナリズムの問題は、一度世に出れば既に被害が出ているということです。
Windows 7は今のところ好評を博していますが、まだ新しいため、多くの組織はWindows 7の急速な導入に躊躇しています。新OSの欠陥やシステムクラッシュを訴えるブラックスクリーンなどの報告は、Windows 7への移行時期、あるいは移行するかどうかの判断に苦慮する組織にとって、移行プロセスを複雑化させています。
Prevx が迅速に対応し、間違いを認めて Microsoft に謝罪するブログ投稿を行えば、被害の一部を回復できるだろう。
SophosのCluley氏は次のようにまとめています。「PrevXは人々を不必要に怖がらせることを意図したものではないと思います。ただ、いくつかの詳細と二重チェックが途中で抜け落ちてしまっただけだと思います。これで、ITチームが日々直面している、より重要で差し迫った真の問題に、皆が目を向けることができるようになることを願っています。」
Tony Bradley は@PCSecurityNews としてツイートしており、彼のFacebook ページで連絡を取ることもできます。
