物議を醸すグーグルの「Windows」脆弱性公表から学ぶべきこと

Paco Hope (Special to TechRepublic) 翻訳校正: 石橋啓一郎

2015-02-04 06:00

 ゼロデイ攻撃の撲滅を目指すGoogleのProject Zeroは2014年の米国時間12月30日、Windows 8.1に存在する脆弱性の詳細(および実際に動作する攻撃コード)を公開した。問題はGoogleが、Microsoftがパッチを公開したかどうかに配慮することなく、90日で詳細を公開するというスケジュールを厳密に守ったことだ。その90日の期限は、冬のホリデーシーズンの最中に訪れた。

 また2015年1月5日には、セキュリティ研究者のPaul Price氏が、数百万人単位の顧客のデータを漏えいさせる可能性のある、Moonpig.comのAPIに関する問題の詳細を公開した。同氏はMoonpig.comと連絡は取っていたものの、同社は1年間の間その問題を修正せず、あまりコミュニケーションにも積極的ではなかった。このため、Price氏は詳細を秘密にしておくか、顧客を危険にさらしてMoonpig.comに圧力をかけるかという難しい判断を迫られた。同氏は後者を選んだ。

 さらに、Googleは再び90日のスケジュールを固守し、今回はMicrosoftの「月例パッチ」でパッチが公開されるわずか2日前に詳細を公開した。この際、Microsoftの幹部はGoogleと連絡を取り、このような状況を避けようと調整を試みていた。

 MicrosoftとGoogleは、AdobeやFacebook、Apple、Amazonなどとともに、世界でも最大級、最高水準のソフトウェア会社であり、最近の摩擦にも関わらず、これらの会社は脆弱性のレポートに対応するための成熟した手順を持っている。脆弱性の情報公開に関するジレンマが最も深刻なのは、それ以外のすべての企業が属する大きなグループで起こる。多くの企業は、Microsoftのような大企業ではないのだ。

「コンコン、誰かいませんか?」

 セキュリティ研究者には、次のような共通の2つの悩みがある。

  • 脆弱性を報告すべきところを見つけるのが難しい。
  • 企業が、どのように問題を解決しようとしているかについて、ほとんど、あるいはまったく教えようとしない。

 ホテルチェーンや映画館チェーンが、オンライン予約管理に脆弱性のあるソフトウェアを使っていたとしよう。それらの企業は、おそらく自分ではソフトウェアを書いていないし、使用しているソフトウェアに存在する脆弱性についてのレポートも公開しない。また顧客サービスのスタッフは、ウェブサイトの脆弱性に対応する訓練を受けていない。このため、誰かが問題を発見して、ホテルや映画館チェーンのサポートに連絡を取っても、正しい情報を、それを利用できる人間の手に届けるのは難しい。

 同様に、オンラインの多くの会社はソフトウェアの脆弱性への対応には不慣れだ。それらの会社は、セキュリティ研究者は脆弱性の詳細を公開することができ、実際に公開する場合があることを知らないかもしれない。このため、研究者に対して、情報を確かに受け取り対応を進めていることを知らせるのに、価値を見いださないかもしれない。あるいは、脆弱性の影響に対する認識が甘く、問題を起こせるのはごく一部のエリートハッカーだけだと考えたり、報告してきた1人の研究者さえ黙らせれば、その脆弱性が悪用されるのを防げると考えるかも知れない。

 もし、その会社の誰からも返事がなければ、セキュリティ研究者は何をするだろうか。最後通牒を突きつけるだろうか。構わずに攻撃方法を一般に公開するだろうか。何もせずに黙っているだろうか。それとも、その攻撃方法を脆弱性を売り買いする市場で売るだろうか。

公開の圧力が持つ、よい面と悪い面

 公に名指しで問題を指摘し、攻撃方法を公開することは、企業に脆弱性のあるソフトウェアを修正させる圧力になる。これでもし企業が素早く対応できれば、八方丸く収まる。しかし、もし素早く対応できなければ、脆弱性が悪用されて、エンドユーザーが巻き添えで被害を受ける可能性が高い。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]