これがもっとも現実感が高い。

http://d.hatena.ne.jp/yuuky/20050325#p1
http://d.hatena.ne.jp/yuuky/20050326#p2

ファーストサーバは脆弱性を知りつつ、入れ替えを適切には行っていなかった。
脆弱性を指摘したのがoffice氏であったかの証拠が無いかは探しておきます。茶室のログにはなかったように感じました。

いずれにせよ、全く知らせずにイキナリ行った訳ではない。
ファーストサーバに指摘はされていて、その対応に業を煮やしていたことが行動の一因になっていることは確かだろう。

11月18日 18時01分 ( No.#1613-1 )
office
【ファーストサーバが配布した、不適切な情報公開をしてしまうcgi問題について】

上記の件ですが、その後様々な情報を頂きました。それらの情報を総合して、
私は多くの事実誤認をしていたこと、また誤解を与える表現をしていたと結論づ
けました。ここに訂正してお詫びしたいと思います。

最初に、私のいくつかの事実誤認等、いくつかの誤りについて、訂正とお詫びをし
たいと思います。

●ファーストサーバについて

http://www.office.ac/tearoom/noframe.cgi#No.1613
の
「・ファーストサーバの担当者は真摯に対応してくださっています」
という記述についてはまず撤回させていただきます。

「該当のCGIにつきましては、弊社でも脆弱性(洗浄不足)を認識しており、
昨年末にお客樣へ通知の上、対応版をリリースし、また、今年には
構造をまったくかえたCGIを新規にリリースして、該当のCGIの使用を
やめるように指導しておりました。

今回、お客樣に 確認したところ、どうもコンテンツ製作会社に
その情報が通知されておらず、古いバージョンをそのまま使用して
いたとの事がわかりました。」

というファーストサーバ側の主張については、この表現通りであるとの裏が全く
とれませんでした。むしろ、CGIのセキュリティ問題を認知しながら、それを顧
客に知らせず、なんとなくバージョンアップしたというような表現しかしていな
かったということのようです。

例えば

http://slashdot.jp/comments.pl?sid=133390&cid=435775
http://tmp2.2ch.net/test/read.cgi/download/1068564689/90

などにもファーストサーバ側が行った対応が記述されていますが、私の入手した
情報もこれに一致しています。このような情報しか得られない状況では、サーバ
の借り手が、cgiを新しいバージョンに入れ替える必然性は見いだしようがあり
ません。

確かにcgiのセキュリティ問題報告の後での私(office)へのレスポンスは素早か
ったものの、そこにあった記述は単なる責任逃れのためのものばかりとしか思え
ない状況です。なお、今現在ファーストサーバが具体的にどのようなアクション
を取っているかは、私には全く見えません。従って「真摯な対応」があったとい
うのは、少なくとも事実とは言えません。