脆弱性をただ公表すればいいのか?リンクする側も責任を持とう

呉井嬢次(Johji Kurei) 2005-07-20 10:00:00

 指紋認証機能が搭載されたノートパソコンが販売されているが、ある機種ではネットワークを経由してノートパソコンを停止させることができる。この発見者が、ホームページに停止させる手法を詳しく公開した。この手口は、あちこちに引用されはじめている。このようなシステムの脆弱性をホームページで公開するやり方は、情報セキュリティを確保する手段として、適切ではない。セキュリティーの脆弱性を発見した立場、メーカーの立場によって、脆弱性を公開することに対する考えは大きく異なる。

発見者の考え
・脆弱なシステムを作る側に問題がある。
・セキュリティーホールを発見し、事故を未然に防ぐ為にセキュリティー情報を公開して何が悪い。
・公開したセキュリティー情報を悪用する者がいたら、それは悪用した奴が悪い。
・問題点を提起しただけで、法的にもなんら問題ない。

メーカーの考え
・公表する前に知らせてくれれば、関連部門や販売会社等を通じて予防策を講じられたのに。
・情報セキュリティーに関わる情報倫理について、学校では教えないのか。
また、該当サイトをリンクする側に対しては、
 ・この情報をきっかけに、ダウンされる利用者の事を考えたのだろうか。倫理観を疑う。
と、いったところだろうか。

セキュリティーを確保するなら、最善策を模索せよ

 脆弱性を公開するのは本人の勝手だ。しかし、それはセキュリティーを確保する最善の手段とは言いがたい。その事実をインターネットで公表する前に、まずメーカーに知らせるべきだ。ホームページに公開すれば、多くの人がアクセスするかもしれないが、それは安全を確保する手段の一つにしか過ぎない。情報セキュリティーを確保するには、多角的に問題を解決するアプローチを選択することが望ましい。自分のホームページに公開する方法と、次に紹介する方法を組み合わせれば、より早く、効果的にシステムの安全性を確保することがわかるだろう。

「メーカーに脆弱性情報を知らせる」

 メーカーに知らせれば、新たに出荷する機種には出荷時の設定を変更する。つまり、被害の拡大を防止することができる。該当する機種のユーザーが、公開されたホームページに書かれた内容を理解できるとは限らない。メーカーであれば、ヘルプデスク、販売店等からのアナウンスによって、脆弱性を回避することができる。パソコンの初心者は思ったよりも多く、メーカーの支援があれば、効果的に安全を確保できる。もちろん、注意すべき点もある。

メーカー(企業)の保身的な対応を防ぐ方法

 個人がインターネットを使って情報を発信する今でも、システムの脆弱性を知らせても無視する企業も存在する。「だから、インターネットで公開するんだ」という意見もあるが、それは間違っている。企業で働いている人だって、事故を最小限に食い止めたいと思っている。しかし、組織の壁があったり、担当者との調整に手間取ったりしている。なかには、自分が担当を外れるまで問題を先送りして、サボる奴もいるかもしれない。脆弱性を発見したら、企業が問題を早く解決できるようにさせるテクニックを使うことだ。たとえば、こんなテクニックを使うといい。

・証拠が残る形で、メーカーと交渉する 電子メールであれば、証拠が残るとは限らない。改ざんされないようにするには、記録を確実にとっている組織にもメールを送りつけておく。自分の管理者権限を持っていないマシンにあるメールアドレスに送り込んでおくのもいい。万が一、企業が嘘をついた場合、メールアドレスのタイムスタンプから嘘を暴くことができる。

・企業に安心感を与えさせる
 企業がかかえるリスクと混乱させないようにすることである。金品を要求するような表現は、慎むべきだし、脅しと解釈されないように言葉を選びたい。インターネットでは匿名で脆弱性を指摘することは珍しいことではない。しかし、脆弱性を匿名で指摘すれば、多くの企業は警戒する。もし、企業に誠意ない対応を感じられたら、誤解を解く努力を行い、それも記録にとることを勧める。

・必ず返事の期日を希望する旨を記述する
 脆弱性の大きさを企業の担当者が認識する迄には時間はかからない。しかし、企業としての返事を受け取るまでには、脆弱性を指摘する者が想像する以上に時間がかかる。このため、2点「返事を希望していること」、「返事の期日を明記すること」を入れておくこと。ちなみに、期日を指定しない場合、催促するまで返事を出さない企業も存在する。返事がないのでインターネットで公開したら、メーカーの担当者から「返事をだそうと思ってた」なんてトボケル技を使ってくる奴もいるので注意したい。

・我慢できる負担の限度を決めておく
 脆弱性を知らせる場合、電話代、メール作業など相当のエネルギーを使う。その限界を超えたら、担当者に素直に伝えることだ。それでも企業が負担を要求するなら、話し合いを打ち切る旨を伝えて終了にすることである。これまでの経緯を記録していることは、伝える必要はない。相手の企業に対する切り札にしておくのである。

 脆弱性を見つけて得意になる気持ちは、色々な人に知ってもらいたい気持ちもあるだろう。その前に、社会人として何をすべきか考慮すべきだろう。また、脆弱性サイトをリンクをする人は、悪意を持った人が見つければ、被害が拡大する事実を認識し、リンクする側にも自覚と責任を持つべきではないだろうか。

Vulnerability in Remote Desktop Protocol (RDP) Could Lead to Denial of Service
http://www.microsoft.com/technet/security/advisory/904797.mspx

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR