MSがGoogle非難、Windowsの脆弱性情報公開を巡り

GoogleがWindowsの未解決の脆弱性情報を公開したことに対し、Microsoftは「結果として被害を被るのは顧客だ。Googleにとって正しいことが顧客にとって常に正しいとは限らない」と強調した。

[鈴木聖子，ITmedia]

Microsoftの主張

　米Microsoftが米国時間の1月13日に予定している月例セキュリティ情報の公開直前になって、米GoogleがWindowsの未解決の脆弱性に関する情報を公開した。これに対してMicrosoftは1月11日のブログで、情報の公開を13日まで待つようGoogleに要請していたことを明らかにしたうえで、Googleのやり方によって被害を被るのはユーザーだとして同社を非難した。

　GoogleがWindowsの脆弱性情報を公開したのは、同社が独自に定めた「90日以内にパッチが提供されなければ情報を公開する」というルールに従った措置。これに対してMicrosoftは「脆弱性情報の公開を支持する側は、そうすることによってソフトウェアベンダーがもっと迅速に脆弱性を修正するようになり、ユーザーが自衛策を講じられるようになると信じている。だが我々はそうは思わない」と強調。「脆弱性については十分な検証を行ったうえで、一般に情報が公開される前に問題を修正する必要がある」として、「協調的な脆弱性情報公開（CVD）」の必要性を力説した。

　その上で、Microsoftが月例セキュリティ更新プログラムを公開する直前になって、GoogleがMicrosoft製品についての脆弱性情報を公開したことを非難。Googleに対しては、顧客を守るために1月13日まで詳しい情報の公開を控えるよう要請していたと説明し、「結果として被害を被るのは顧客だ。Googleにとって正しいことが顧客にとって常に正しいとは限らない。我々はGoogleに対し、顧客の保護を我々共通の第1目標とすることを求める」と促した。

　さらに「全ての脆弱性は平等ではない。オンラインサービスのアップデートは複雑さと依存性において、ソフトウェア製品や、10年もの間に何万というアプリケーションやハードウェアがその上に構築されてきたソフトウェアプラットフォームの修正とは異なる」とも指摘。「今はセキュリティ研究者とソフトウェア企業が力を合わせるべき時であって、脆弱性の公開といった重要な保護戦略を巡って分裂している時ではない」と主張している。