TippingPoint、MSやIBM製品の未解決の脆弱性情報を公開

TippingPointは半年以上未解決のままになっている脆弱性の情報を公開した。未解決の脆弱性はMicrosoftやIBMの製品に多数存在する。

[鈴木聖子，ITmedia]

　米Hewlett-Packard（HP）傘下のセキュリティ企業TippingPointは2月7日、MicrosoftやIBMなど主要メーカーの製品について、半年以上未解決のままになっている脆弱性の情報を公開した。

　TippingPointはセキュリティ研究者などから脆弱性情報を募って報酬を支払う「Zero Day Initiative」（ZDI）を運営し、寄せられた情報を各メーカーに提供して修正を促している。しかし深刻な脆弱性が長期間放置されるケースも多いとして、2010年8月に運営方針を変更。メーカーが半年を経過しても脆弱性を修正しない場合は、ユーザーを保護する目的で、脆弱性に関する情報を公開すると定めた。

　今回はこの方針に基づき、初めて未解決の脆弱性情報22件を公開した。内訳は、Lotus DominoなどIBMソフトウェアに関するものが9件、Microsoft製品関連が5件、HP関連が4件、EMC、Novell、CA、SCO関連が各1件となる。Microsoft製品の脆弱性はExcelとPowerPointに存在するとされ、いずれもリモートコード実行の可能性が指摘されている。

　ソフトウェアの脆弱性情報公開をめぐっては、メーカーに非公開で報告すべきだとの立場を取るMicrosoftなどと、長期にわたって脆弱性が放置されてきた実態を問題視して修正期限を設定しようとするセキュリティ研究者などが対立してきた。Googleの研究者などが独自に設定した期限に基づき、Microsoft製品の未解決の脆弱性情報を公表する動きも出ている。