その一方で、その脆弱性が公に知られていなくても、悪意のある攻撃者は積極的にそれを悪用しているかも知れない。その脆弱性の存在を知っているのが1人だけ、あるいは1社だけかどうかは、誰にも分からない。ソフトウェアメーカーが、ほかには誰もその問題の存在を知らないと決めつけて、セキュリティ研究者の報告への対応を遅らせることは許されない。
公に知られていないバグが、実際には悪用されている可能性があるのだ。ただしバグが公開されれば、ほぼ確実にそのバグは広く悪用される。この影響(特に脆弱性のあるサービスの罪のないユーザーに対する悪影響)は、そのメーカーに圧力をかけるだけの価値に見合ったものだろうか。研究者は、脆弱性を公開したことにより発生する罪のないユーザーへの被害に対して、倫理的あるいは道徳上の責任を負うだろうか?
病よりも重い、薬の副作用
別の問題は、そもそも安全に修正することができるかだ。ソフトウェアメーカーが複雑な脆弱性を非常に短期間で修正するように強いられれば、ミスを犯してしまう可能性が高い。脆弱性を実際に修正できるかどうかに関わらず、そのパッチが正常に動作している機能を破壊してしまう可能性もある。当然ながら、修正を素早く行えば行うほど、そのパッチのテストも十分ではない可能性が高くなる。
セキュリティ研究者のような外部の人間には見えにくい利害関係者が存在することも多い。オンライン小売店には、上流や下流にデータ提供会社を持っているかも知れず、脆弱性を「修正」することによって、重要な販売機能が動かなくなる可能性もある。修正によって、収益が失われるという形でコストがかかる可能性もある。Microsoftのようなソフトウェアメーカーがセキュリティ問題に対して急いで修正することを強いられれば、これまで機能していたWindowsの一部に不具合が出る可能性もあり、ユーザーが被害を受けるかも知れない。外部の人間が「この修正は簡単だ」と言うことと、拙速でずさんなパッチを出すことを強いて企業の評判を危険にさらすことで、その脆弱性が悪用されるよりも大きな害を与えることは別のことだ。
何がフェアなのか
脆弱性を適切なやり方で公開することについて論じるには、別の記事が必要だろう。しかし、いくつかの原則があることは明らかだ。
研究者は、適切な相手と連絡を取るよう努めなければならない。このためには、複数の電子メール、複数の「お問い合わせ」ウェブフォームに加え、ソーシャルメディアを使用したり、電話をかける必要さえあるかも知れない。「相手は応じなかった」と主張したい研究者は、その企業に十分に連絡を試みたことを示せるようにすべきだ。
また、企業はセキュリティレポートを受け取り、対応するプロセスを用意する必要がある。このプロセスには、報告した研究者に対して進捗度や状況を伝える手段が含まれてなくてはならない。これは相互的な関係であり、企業はセキュリティの脆弱性に関する議論に、信頼でき、明瞭で、予測できる態度で臨まなくてはならない。
慎重さが重要
商取引では慎重さが大切だ。有責性を認めたり、約束をしたりする際には注意する必要がある。そのような行為が事業に悪影響を与えることもある。一方で、今日の相互のつながりが強く、意見が瞬く間に伝わるインターネットでは、無言を貫くのは最善の対応ではないことが多い。実質的な内容のある情報を定期的に伝え続けることが、信頼を生む。
ソフトウェアにはバグがつきものだ。ソフトウェア企業の善し悪しを分けるのは、バグにどう対応するかだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。