物議を醸すグーグルの「Windows」脆弱性公表から学ぶべきこと

Paco Hope (Special to TechRepublic) 翻訳校正: 石橋啓一郎 2015年02月04日 06時00分

  • このエントリーをはてなブックマークに追加

 ゼロデイ攻撃の撲滅を目指すGoogleのProject Zeroは2014年の米国時間12月30日、Windows 8.1に存在する脆弱性の詳細(および実際に動作する攻撃コード)を公開した。問題はGoogleが、Microsoftがパッチを公開したかどうかに配慮することなく、90日で詳細を公開するというスケジュールを厳密に守ったことだ。その90日の期限は、冬のホリデーシーズンの最中に訪れた。

 また2015年1月5日には、セキュリティ研究者のPaul Price氏が、数百万人単位の顧客のデータを漏えいさせる可能性のある、Moonpig.comのAPIに関する問題の詳細を公開した。同氏はMoonpig.comと連絡は取っていたものの、同社は1年間の間その問題を修正せず、あまりコミュニケーションにも積極的ではなかった。このため、Price氏は詳細を秘密にしておくか、顧客を危険にさらしてMoonpig.comに圧力をかけるかという難しい判断を迫られた。同氏は後者を選んだ。

 さらに、Googleは再び90日のスケジュールを固守し、今回はMicrosoftの「月例パッチ」でパッチが公開されるわずか2日前に詳細を公開した。この際、Microsoftの幹部はGoogleと連絡を取り、このような状況を避けようと調整を試みていた。

 MicrosoftとGoogleは、AdobeやFacebook、Apple、Amazonなどとともに、世界でも最大級、最高水準のソフトウェア会社であり、最近の摩擦にも関わらず、これらの会社は脆弱性のレポートに対応するための成熟した手順を持っている。脆弱性の情報公開に関するジレンマが最も深刻なのは、それ以外のすべての企業が属する大きなグループで起こる。多くの企業は、Microsoftのような大企業ではないのだ。

「コンコン、誰かいませんか?」

 セキュリティ研究者には、次のような共通の2つの悩みがある。

  • 脆弱性を報告すべきところを見つけるのが難しい。
  • 企業が、どのように問題を解決しようとしているかについて、ほとんど、あるいはまったく教えようとしない。

 ホテルチェーンや映画館チェーンが、オンライン予約管理に脆弱性のあるソフトウェアを使っていたとしよう。それらの企業は、おそらく自分ではソフトウェアを書いていないし、使用しているソフトウェアに存在する脆弱性についてのレポートも公開しない。また顧客サービスのスタッフは、ウェブサイトの脆弱性に対応する訓練を受けていない。このため、誰かが問題を発見して、ホテルや映画館チェーンのサポートに連絡を取っても、正しい情報を、それを利用できる人間の手に届けるのは難しい。

 同様に、オンラインの多くの会社はソフトウェアの脆弱性への対応には不慣れだ。それらの会社は、セキュリティ研究者は脆弱性の詳細を公開することができ、実際に公開する場合があることを知らないかもしれない。このため、研究者に対して、情報を確かに受け取り対応を進めていることを知らせるのに、価値を見いださないかもしれない。あるいは、脆弱性の影響に対する認識が甘く、問題を起こせるのはごく一部のエリートハッカーだけだと考えたり、報告してきた1人の研究者さえ黙らせれば、その脆弱性が悪用されるのを防げると考えるかも知れない。

 もし、その会社の誰からも返事がなければ、セキュリティ研究者は何をするだろうか。最後通牒を突きつけるだろうか。構わずに攻撃方法を一般に公開するだろうか。何もせずに黙っているだろうか。それとも、その攻撃方法を脆弱性を売り買いする市場で売るだろうか。

公開の圧力が持つ、よい面と悪い面

 公に名指しで問題を指摘し、攻撃方法を公開することは、企業に脆弱性のあるソフトウェアを修正させる圧力になる。これでもし企業が素早く対応できれば、八方丸く収まる。しかし、もし素早く対応できなければ、脆弱性が悪用されて、エンドユーザーが巻き添えで被害を受ける可能性が高い。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]