物議を醸すセキュリティ研究者の「バグ探しコンテスト」（1/2 ページ）

イスラエルのセキュリティ研究者が、未パッチのバグを悪用するコードを自分のブログに埋め込んだ。これが脆弱性の責任ある開示をめぐる議論を呼んでいる。

[Brian Prince，eWEEK]

　セキュリティ研究者のアビブ・ラフ氏は、イスラエル建国60周年を自分なりのやり方で記念した――Internet Explorer（IE）7および8βのゼロデイ脆弱性を突くコンセプト実証コードを自分のブログに埋め込み、読者にこのバグを見つけてみよと挑戦するというやり方で。

　宝探しのようなこの挑戦を、ラフ氏は、イスラエルの独立記念日の伝統に調和するものだと語っている。だがこれは、責任ある開示をめぐる議論も巻き起こしている。

　「以前、Microsoftに脆弱性情報を提出した際に、その扱いに関して嫌な経験をしたことがある」と同氏は言う。「何らかの圧力でもない限り、Microsoftがパッチを開発するのには非常に時間がかかる」

　ラフ氏は、ブログに埋め込んだバグはリモートコード実行の脆弱性だと説明している。この脆弱性を発動させるとWindowsの電卓が立ち上がるが、これを利用して脆弱なマシンに不正なソフトをインストールすることができる。同氏はこの問題を5月6日にMicrosoftに報告したという。

　Microsoftの広報担当者は、同社はラフ氏の実証コードのことは知っているが、同社が把握している限りではこれを悪用しようとする動きはないと語った。

　「調査が終了したら、顧客を保護するために適切な措置を取る」と広報担当者は話した。「月例パッチ、臨時パッチ、あるいは顧客向けの自衛の手引きを追加するなどの手段でセキュリティアップデートを提供するかもしれない」

　根本的には、責任ある開示という概念は、どのくらいまで秘密にすればIT管理者のためになるのかという疑問に根ざしている。ソフトの脆弱性を隠しておけば、攻撃者にその情報が渡るのを防げる。だがその一方では、攻撃者が自力で脆弱性を発見しているかもしれないのに、影響を受ける人には脆弱性情報が伝わらないということも起きる。

　「脆弱性が開示され、攻撃が起きる恐れがなければ、ソフトベンダーは絶対にパッチを発行しないだろう」とGartnerのアナリスト、ジョン・ペスカトーレ氏は言う。「単に次の定期的な製品リリースにフィックスを盛り込むだけだ」

　情報非開示によるセキュリティだけに頼るのは悪いことだが、それでも秘密にすることは常にセキュリティの重要な部分を占めるとペスカトーレ氏は付け加えた。

　「パスワードが書かれたTシャツを着るわけがないだろう？」と同氏は大げさに問いかけた。「どの情報をWebサイトで公開するべきかについても同じことが言える。政府の建物の電子図面を持っているからというだけの理由で、それをWebサイトに載せるべきだろうか？」

　TippingPointのセキュリティ研究チームマネジャー、ペドラム・アミニ氏は、複数の人が同時に同じ脆弱性を発見することは珍しくないと言う。つまり、ベンダーに脆弱性を報告することを選んだ研究者以外にも、脆弱性の存在が知られている可能性があるということだ。

　「公開されている脆弱性のほとんどは、少なくとも発見者と認められている人以外にも知られていると主張したい」とアミニ氏。「それを考えると、脆弱性の発見後すぐにすべての詳細情報を公開することが公共の利益にかなうかどうかというのは議論に足る質問だ。わたし自身は、ベンダーがパッチを開発している間は、いかなる場合でも秘密のベールに穴を開けるべきではないと確信している。パッチ開発中のバグが攻撃に利用されていることが分かったら、その時点ですべての情報の開示が必要になる」

　ラフ氏は、ベンダーが妥当な期間内にバグを修正しないという確信がない限りは、たいていはベンダーにチャンスを与えると話す。Microsoftは確かに、これまで特定の脆弱性への対処に時間がかかっていた。TippingPointのZero Day Initiativeが最近公表したリストによると、Microsoft、Novell、Oracle、CA、Hewlett-Packardはいずれも、製品に長い間未対応のままのバグがあるという。

　ラフ氏は、同氏が発見したバグの詳細情報を5月14日に完全公開し、それまでの間ほとんど毎日自分のサイトにヒントを載せるとしている。