グーグル、ゼロデイ攻撃を防止する「Project Zero」を発表

Seth Rosenblatt (CNET News) 翻訳校正: 湯本牧子 高森郁哉 (ガリレオ) 2014年07月16日 11時29分

  • このエントリーをはてなブックマークに追加

 ウェブセキュリティを高めようとするGoogleの最近の試みは、「Android」や「Chrome」の修正ではなく、最新のゼロデイの脅威が悪用される前に記録化して阻止するウェブ全域での取り組みである「Project Zero」だ。

 ゼロデイ攻撃は、過去に知られておらず修正パッチが提供されていないプログラミング上の不具合を狙うものだ。こうした脆弱性は、ウェブサイトやソフトウェアなど、基本的にプログラミングコードで書かれたものであれば、あらゆる場所で見つかる可能性がある。

 Project Zeroを発表した米国時間7月15日のブログ投稿でGoogleのセキュリティエンジニアであるChris Evans氏が述べたように、ゼロデイは、人権活動家への攻撃や産業スパイ活動のほか、通信の監視、消費者のクレジットカード情報へのアクセス、大小さまざまなウェブサイトに含まれる詳細な個人情報が詰まったデータベースの窃盗にも利用されている。

 Project Zeroのゼロデイに対する取り組みは、2つの柱からなっている。Project Zeroによって、バグハンティングに関する広い権限を持つえり抜きのセキュリティ研究者で構成されるチームがGoogle内に設けられる。Evans氏は、米CNETに対して、Project Zeroが「世界で最も優れたセキュリティ研究者」に常勤のポジションを与えていることにおいて、Hewlett-PackardのZero-Day Initiative(ZDI)のようなゼロデイプロジェクトと異なっていると述べた。

 また、Project Zeroは、ゼロデイバグのパブリックデータベースを作成することも目指す。このゼロデイバグは、第三者には連絡されず、まずソフトウェアベンダーだけに報告される。Evans氏によると、同プロジェクトでは「可能な限りリアルタイムに近い」タイミングでベンダーに通知し、協力してパッチを準備したいと考えているという。パッチが入手可能になった時点で初めて、Googleはバグを報告する。これは、「責任ある開示」として知られるバグハンティング業界の標準慣行だ。

 「われわれの目的は、標的型攻撃の被害を受ける人の数を大幅に減らすことだ。われわれは、現実的に物事を考える最高のセキュリティ研究者を採用して、フルタイムでインターネットセキュリティの向上に貢献してもらう」(Evans氏)

 Evans氏によると、Project Zeroの起源は、Googleの従業員らが行っている一種のパートタイムのセキュリティ調査にあるという。こうした調査は、「Heartbleed Bug」を共同で発見することにもつながった。

 Evans氏はさらに、Project Zeroがバグ追跡における積年の難題にも狙いを定めると述べた。セキュリティ研究者らはProject Zeroのデータベースを利用して、ベンダーによる修理時間のパフォーマンスを監視したり、悪用可能性に関する議論をさかのぼって読んだり、悪用履歴を研究したり、クラッシュを追跡したりできるようになる。

 絶え間ないゼロデイ問題への対策を改善しようとする技術業界の試みは、Project Zeroの前にも例がある。ZDIは、2005年以降、検証可能なゼロデイの悪用の報告に対しては金銭的報酬を与えているほか、研究者を対象に、制限時間内に悪用を実証する年次コンテストを運営している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]