脆弱性情報の「Full-Disclosure」がサービス停止へ、“身内”が原因？

「ハッカーの間にあった尊敬の念は存在しなくなった。セキュリティゲームは統制が厳しくなる一方だ」と創設者は嘆く。

[鈴木聖子，ITmedia]

　脆弱性情報の公開や論議の場として活用されてきたセキュリティメーリングリスト「Full-Disclosure」創設者のジョン・カートライト氏が3月19日、Full-Disclosureのサービスを無期限に停止すると発表した。

　Full-Disclosureはカートライト氏らが2002年7月に創設し、これまで12年にわたって運営してきた。大手メーカー製品の未解決の脆弱性情報や実証コードが投稿されることも多く、必然的に「削除要請や削除するなという要請、筋の通ったもの・通らないものを含む各種の法的脅し」にさらされてきたという。

　ただ、そうした反応は当初から予想していたとカートライト氏。しかしメーカーではなく、「コミュニティー内の1人の研究者」から大量の削除要請があり、対応に相当の時間を費やしたことが、我慢の限界を超えるきっかけになったと説明し、「『われわれ自身の世界の1人』がこの12年の努力を台無しにしてしまった」と嘆く。

　同氏はセキュリティ業界の現状に対して不満を募らせていた様子もうかがわせ、「もうこれ以上この戦いを続ける気はなくなった。現代の法的環境の中でオープンなフォーラムを運営するのはますます困難になっている」と指摘する。

　この12年で脆弱性情報を取り巻く現状は大きく様変わりした。Microsoftなどを中心に「責任ある情報の公開」を求める声が高まり、Googleなどの各社は脆弱性情報の提供者に報酬を払う制度を定着させている。

　カートライト氏は「ハッカーの間にあった尊敬の念は存在しなくなった。真のコミュニティーは存在しない。セキュリティゲームは統制が厳しくなる一方だ。これは、業界になるべきではなかった業界の悲しい現状を反映したものだ」と記している。