「ユーザーに配慮しない脆弱性情報の公開はかえって危険を招く」とISSは指摘する。
米IBM Intenet Security Systems(ISS)は7月29日、2008年1〜6月期のセキュリティトレンドリポートを発表した。この中で、脆弱性情報の公開のあり方について提言している。
リポートによると、Webに関連したエクスプロイトのうち、94%は脆弱性情報の公開から24時間以内に出現していることが明らかになった。ISSは、自動化ツールなどの活用によって悪用コードを従来以上の早さで生成できるようになったと分析。多数のエクスプロイト作成ツールがブラックマーケットで流通しているとみられる。
ISSはエクスプロイト作成ツールの普及以外にも、脆弱性情報の公開基準が存在していないことを問題視している。脆弱性の存在がユーザーに知れ渡る前に、攻撃者の活動を促してしまう可能性があると指摘する。
脆弱性情報は、セキュリティパッチやアドバイザリーなどと一緒に公表されることが多いが、同時に攻撃コードも開示されることがある。ISSは、セキュリティ業界の統一した情報の公開方法や基準の必要性が問われているとリポートの中で述べている。
Copyright © ITmedia, Inc. All Rights Reserved.