Sybase、脆弱性情報の公開めぐる脅しを撤回

[IDG Japan]

　米Sybaseは脆弱性探しを行っている英国企業との間で、問題の中心となっていたソフトの脆弱性公開の内容について合意に達したことを受け、同社に対する法的脅しを撤回した。

　SybaseとNext Generation Security Software（NGS）は、NGSが昨年SybaseのAdaptive Server Enterpriseデータベースに発見した一連のセキュリティホールについて共同発表。ユーザーに対し、NGSが掲載した技術アドバイザリーと、Sybaseのサイトで2月にリリースされたパッチについての情報を参照するよう呼び掛けた。

　NGSは2週間前、このデータベースの脆弱性について詳しい情報を公開する計画を取りやめた。もし情報を公開すれば法的措置を取るというSybaseの警告を受けたもの。この警告は、Sybase ASEユーザーのセキュリティについての懸念が動機だったとSybaseは説明している。

　NGS創業責任者のシェリーフ・ハマド氏は、Sybaseの言い分を聞いた後、Sybase関係者の手で自社の脆弱性アドバイザリーを編集させることに同意したと話す。

　「アドバイザリーの文言を、十分詳しい内容で公開するだけの価値があると当社が納得でき、Sybaseではこれなら悪用される危険は少ないと納得できるものにすることができた。最終的にはかなり友好的な合意だった」とハマド氏。

　Sybaseのマーケティング担当副社長キャスリーン・シュアブ氏は、事の発端はすべて、SybaseがNGSの動機について誤解していたことにあったと話す。

　同氏によれば、Sybaseでは脆弱性研究者にどう対処するかについて正式なポリシーを定める必要があるかどうかを検討中だ。しかし同社は今後、研究者らとの間で「もっと前向きかつ協調的にやっていく」と同氏は言い添えた。