ワシントン発--こと脆弱性の開示に関しては、ソフトウェアメーカー各社はバグハンターらのなすがままである、とMozillaのセキュリティ担当トップが米国時間3月24日に語った。
ソフトウェア業界は、脆弱性の開示に関するガイドラインを何年も前から推進してきた。Mozillaのセキュリティ部門トップWindow Snyder氏は、当地で開催のハッカー関連イベント「ShmooCon」のパネルディスカッションで、これらの「責任ある開示」活動はある程度成果をあげてきたが、そのプロセスはセキュリティ研究者に完全に掌握されている、と語った。
「研究者がすべての実権を握っている。彼らは、開示時期や、ベンダー対応のタイミングについての考えまでもコントロールしている」とSnyder氏は語っている。
脆弱性の詳細公表は何年も前から熱く議論されてきた。ソフトウェア業界は、バグの私的開示と公開前の修正時間確保を研究者に提唱し、このような手法を責任ある開示と呼んでいる。何よりも、早期の公表は犯罪者のサイバー攻撃と、それによるベンダーの評判低下を助長するためだ。
一方、業界のガイドラインに従うセキュリティ研究者は、ソフトウェアメーカー各社から反応がないことにいら立ちを多々感じている。そのほか頻繁に批判されるのが、パッチがリリースされるまでにかかる時間と、問題を発見した研究者がセキュリティ警告のなかで功績を認められるまでにかかる時間だ。
Microsoft出身のSnyder氏は、「ベンダーには、報告に対して何らかの対応を取る大きな責任がある」と語っている。
しかし、だれもがこの責任ある開示を受け入れているわけではない。パネルディスカッションに参加したセキュリティソフトウェアベンダーImmunityのDave Aitel氏によると、これはソフトウェアメーカーが仕掛けるわなだという。同氏は、「責任ある開示はマーケティング用語にすぎない。責任ある開示は、Microsoftなどの大手ベンダー各社に都合よくなっている。彼らはこのプロセスをコントロールしようとしている」と語っている。
Aitel氏はバグハンターらに対し、ベンダーに脆弱性を公表する代わりに、自分たちに情報を売って欲しい、と呼びかけた。Immunityは、セキュリティの脆弱性に関する詳細を提供するバグハンターらに情報料を支払い、それをコンピュータやネットワークへの侵入に利用可能な侵入テストツールなどの自社製品に活用している。