今日のBugtraqに、日本の会社が作っている、FA機器コントロール用(らしい)ソフトウェアの脆弱性(複数)が投稿されていた。たけびしって会社の製品なんですけどね。正直FAには疎いので、そんな会社があること自体知らなかったんですけどね(汗

で、一例がこれなんですが、どうも結構クリティカルっぽいネタの割には修正に手間取っているみたいだし、そもそもWebページにそのようなトピックスがあるわけでもないし、そもそも複数一気に見つかるってどうよ？みたいな。

FA機器ですから、当然ミッションクリティカルなところに使われる可能性があって、その割にはファイアウォールとかをかいくぐった先に接続されていたりする場合もあったりするんじゃないかと思うと、この類のソフトウェアはホントに気をつけて作成して欲しいなぁと思うんですが、多分最もセキュリティから遠いジャンルなんだろうな、と思うと背筋に寒いものが…

例の制御棒脱落もそうですが、現場って以外に悠長なんですよね。本業でクライアントの工場に行ったりするんですが、「『ヘルメット着用』と書いてあるから着用しているだけなんだよね、フフン」って雰囲気が蔓延していて、なぜヘルメットなのか、などの背後関係については誰も着目してない、という。

仕組みや決め事を作るのは得意な人たちが決め事を作って配布するだけなので、実はその仕組みは守られない、なーんていう状態が実は一番危険なのにそうなっちゃう。それは単なる怠惰だと思うんですけどねー。

(3/25 追記）
しぶーくニュースになってましたね。こちら。