Sybase、警告書簡で脆弱性情報の公開阻止

Sybaseがセキュリティ調査会社による自社製品の脆弱性情報公開を阻止したことが論議を呼んでいる。(IDG)

» 2005年03月26日 09時12分 公開
[IDG Japan]
IDG

 Sybaseが英国のセキュリティ調査会社に対し、昨年Sybaseのデータベースソフトに見つかった8件の脆弱性に関する情報を公開すれば提訴すると脅しをかけたことについて、一部IT管理者から強い批判の声が上がる一方で、同社に対して同情的な論調も出ている。

 脆弱性情報の公開阻止は、ソフト業界にとって「悪しき前例を作ることになる」と話すのは、電機ワイヤー/ケーブルメーカーSouthwireの上級ネットワーク管理者、ティム・パワーズ氏。

 研究者がソフトの脆弱性情報を責任を持って公開することで、製品のセキュリティは「著しく向上」してきたと同氏は言い、「法的措置をちらつかせて公開を阻止するのはセキュティが損なわれるだけだ」と話す。

 一方、ローチェスター大学の情報セキュリティ管理者、キム・ミルフォード氏は、もしセキュリティパッチが有効でなかったり、システムに適用できない場合、大抵のITサポート担当者は直接ソフトベンダーに連絡を取ると思うと話す。そのような場合、「(脆弱性に関する)技術的詳細の公開によって最も恩恵を受けるのはハッカーという傾向がある」

 SybaseはこのほどNext Generation Security Software(NGS)に対し、もし同社が計画通り、SybaseのAdaptive Server Enterprise(ASE)バージョン12.5.3で発見した脆弱性についての情報を公開した場合、法的措置を招くことになると警告する書簡を送った。

 NGSは当初、この脆弱性の存在についてSybaseのみに通報し、Sybaseは先月、影響を受けるソフトの問題を修正したアップデートバージョンをリリースした。ベンダーのパッチリリースを待つという方針に沿って、NGSは3月21日にこの脆弱性に関する詳細を公開すると述べていたが、Sybaseの書簡を受け取って公開取りやめを決めた。

 Sybase広報は電子メールの声明で自社の取った行動について弁明、ユーザーのセキュリティに対する不安がその動機だったと説明し、次のように述べている。「Sybaseは自社製品に見つかった(セキュリティ)問題の存在が公表されることに反対はしない。しかし、この問題に関してあまりに具体的な詳細が公開されることが、顧客にとって最大の利益になるとは思わない」

Copyright(C) IDG Japan, Inc. All Rights Reserved.

注目のテーマ