Google、脆弱性調査に専従する「Project Zero」発足

「Project Zero」ではインターネットで広く使われているソフトウェア製品の脆弱性調査に研究者を専念させる。

[鈴木聖子，ITmedia]

　米Googleは7月15日、他社製品も含めてインターネットで広く使われているソフトウェア製品全般の脆弱性調査を専門とする「Project Zero」を社内に発足させると発表した。

　同社によると、現状では犯罪集団や国家が関与する集団がソフトウェアの脆弱性を突いてユーザーのコンピュータにマルウェアを感染させ、機密情報を盗んだり通信を監視したりする攻撃が横行している。

　こうした攻撃では、存在が知られていない、または知られていても未解決の「ゼロデイ」の脆弱性が悪用されていると同社は指摘。「人権活動家が狙われるような事態や産業スパイなどは阻止しなければならない。この問題に対峙するためにできることはもっとある」と訴える。

　Project Zeroの目標は、こうした標的型攻撃の被害者の数を大幅に減らすことにあるという。対象には特に境界を設けず、多数のユーザーが使っているソフトウェアはどんなものでも対象になると説明している。

　発見した脆弱性の情報は、そのソフトウェアのベンダーにのみ報告し、第三者には開示しない。修正パッチが公開されるなど、その脆弱性の存在が公になった時点で、問題が修正されるまでにかかった時間などの情報を公表する方針。

　Googleの研究者はこれまでにも、例えばMicrosoftやAppleといった他社製品の脆弱性の発見にかかわってきた。Project Zeroを担当するセキュリティ研究者は、インターネット全般のセキュリティ向上のために100％の勤務時間を充てることになるという。