米国時間1月13日はMicrosoftの月例パッチ公開日だったが、Googleはこの2日前に「Windows」の脆弱性に関する詳細を実証コードも含めて公表した(編集部注:さらに15日にも、Windowsの別の脆弱性に関する情報を公開している)。
Microsoftは、そうした無責任に思われるGoogleの情報の公表について、公然と批判している。しかしGoogleはもともと、その脆弱性の詳細を2014年10月13日にMicrosoftに伝えており、これは公開までに90日の猶予期間を設けるという厳格なポリシーに従っている。Microsoftの90日の猶予期間が切れた時点で、Googleはバグの詳細を公開した。
どちらの企業が正しいのだろうか。「責任ある」公開についての議論はずいぶん前から盛んに行われている。開発者は間違いなく、パッチを作成し、テストし、配布できるようになるまで(それがいつになろうと)、不具合を秘密にしておきたがるだろう。一方、研究者は、自分たちの努力が無駄ではなかったこと、そしてベンダーが脆弱性の発見を真剣に考えていることを確かめたいと思っている。Googleのような研究者が、パッチ公開前にバグについての情報を公開することには疑問があるかもしれないが、研究者がその情報を無期限に秘密にし、その間も数多くのユーザーが、存在すら知らないセキュリティ上の脅威にさらされるというのも、同じくらい問題があると解釈することができる。
Microsoftは12日に、協調的な脆弱性の公開をめぐる議論についてのブログ記事を公開した。MicrosoftのChris Betz氏は、次のようにはっきりと述べている。「現在の状況を見れば、今は、脆弱性の公開や、それらの修正といった重要な保護戦略をめぐって、セキュリティ研究者とソフトウェア企業が協力する時であって、対立する時ではない」
筆者はセキュリティの専門家に、責任ある、または協調的な公開の倫理面について意見を聞いた。予想通り、両方の立場の答えが出てきた。
セキュリティソリューションを手がけるRook SecurityのセキュリティオペレーションセンターのマネージャーであるTom Gorup氏は、今回の公表のタイミングは、Googleによる以前のゼロデイ脆弱性の公表と同じタイミングだと指摘している。その上で同氏は、Googleが一貫したポリシーを実施したことを称賛している。「脆弱性の存在を知らなかったら、私はその脆弱性を利用する攻撃を検出したり、防いだりするための対策が何も取れない。一般の人々がこの問題を認識していないからといって、この脆弱性が積極的に悪用されていないということにはならない。脆弱性の公開には一貫性があることも重要だ」