Google、未解決の脆弱性をめぐり「ベンダーの責任」を追及

脆弱性の情報公開をめぐって、Googleが“暗に”Microsoftを批判した。「ベンダーが“責任ある”公開を振りかざし、脆弱性の修正を先延ばしにするケースが増えている」とした。

[ITmedia]

　Windowsの未解決の脆弱性情報をMicrosoftの発表前に公開して批判されたGoogleの研究者らが、Googleの公式セキュリティブログで見解を表明した。Microsoftが研究者に対して「責任ある公開」を求めてきたことについて、暗に同社を批判する内容となっている。

　Googleに所属するテイビス・オーマンディ氏は、6月にWindowsの未解決の脆弱性情報を公開した研究者。Microsoftは当時「責任ある情報公開を求める」と同氏を批判していた。Microsoftのいう「責任ある公開」とは、脆弱性情報は一般に公開する前に、まずベンダーに非公開で通報すべきという立場だ。

　オーマンディ氏らはこれに反論する形で、7月20日付のGoogleオンラインセキュリティブログに同社セキュリティチームの連名で見解を掲載した。

　この中でオーマンディ氏らは、「真にエンドユーザーを守るためには、いわゆる“責任ある公開”が必ずしも最善とはいえない」と主張。「ベンダーが“責任ある”公開を振りかざし、脆弱性の修正を先延ばしにするケースが増えている」と指摘した。中には何年にもわたって脆弱性が放置されることもあり、攻撃者が問題を悪用するケースも増えているとして、「長期にわたって問題を放置しておくことこそ無責任だ」と批判している。

　その上で、「研究者だけでなくベンダー側にも責任ある行動を要求し、深刻な脆弱性は妥当な期間内に修正すべきだ」とした。ベンダーの責任ある対応の目安として、「幅広く普及しているソフトウェアの深刻な脆弱性については60日以内に対処する」という期限の設定を提案している。

　実際にGoogleのセキュリティ研究者が未解決の脆弱性を見つけてベンダーに通報する場合には、情報公開までの期限を設定し、その期限を過ぎた場合や対応を拒まれた場合は、回避策を含めて情報を公開するというやり方を支持すると表明した。

　なお、この問題をめぐってMicrosoftは7月22日、「責任ある公開」を求めてきた立場を改め、今後は「Coordinated Vulnerability Disclosure」（CVD＝協調的な脆弱性情報公開）を追求すると表明している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら