セキュリティ研究者がKasperskyとFireEyeのシステムにゼロデイ脆弱性を発見したことを報告した。悪用されると顧客の安全性に影響が及ぶというものだ。
セキュリティ研究者のTavis Ormandy氏は米国時間9月5日、Kasperskyの製品に影響する脆弱性の存在を明らかにした。Ormandy氏は過去にSophosとESETの両ウイルス対策ソフトのセキュリティ脆弱性を発見した実績を持つ。氏によると、この脆弱性は「最悪」という。
Ormandy氏の開示を受けてから24時間以内に、Kasperskyはこれを修正するパッチをグローバルにリリースした。それに報いるかのように、Ormandy氏は他の多数の脆弱性についての情報をKasperskyに送った。これらの脆弱性も「明らかに悪用可能」という。
同じ頃、別のセキュリティ専門家であるKristian Erik Hermansen氏もゼロデイ攻撃につながる脆弱性を概念実証(PoC)コードとともに公の場で報告した。こちらはFireEyeのセキュリティ製品が対象である。
Hermansen氏は以下のように記している。
FireEye/Mandiantゼロデイ脆弱性の1つだ。18カ月以上前から存在しており、FireEyeのセキュリティ“専門家”はまだ修正していない。
Mandiantスタッフが、今回のものやその他のバグをコーディングしてしまったことは明らかだ。さらに残念なこととして、FireEyeは外部のセキュリティ専門家が報告できるプロセスを用意していない。
FireEyeアプライアンスでは、許可されていないルートファイルシステムにリモートからアクセスが可能だ。ウェブサーバをルート権限で動かすことができる。これは“セキュリティベンダー”が提供する素晴らしいセキュリティ機能だ。いったいだれが自分のネットワークにこんなデバイスを置く気になるんだ。
Hermansen氏は、FireEyeの製品にある、他の3つの脆弱性情報を有料で提供すると述べている。
FireEyeは声明文を出し、「潜在的なセキュリティ問題を発見してくれたKristian Hermansen氏、Ron Perris氏らセキュリティ研究者らの取り組みに感謝する」としながらも、「責任ある開示を奨励する」として責任ある開示と自社への報告にポリシーを設けていることを強調した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。