「それは修正済み」、ソフトメーカーが脆弱性情報公開中止を要求

[ITmedia]

　主要ソフトの脆弱性情報を公開しているデンマークのセキュリティ企業Secuniaが、あるベンダーから法的措置の「脅し」を受けたとして、このベンダーとのやり取りをサイトで公開した。

　Secuniaによると、問題の書簡を送ってきたのはAutonomyというソフトメーカー。同社の「KeyView」ソフトはIBM Lotus NotesやSymantec Mail Securityといった大手のソフトに組み込まれ、文書を開いたり処理するのに使われている。

　問題は、KeyView Lotus 1-2-3 File Viewerの脆弱性情報開示が発端となっている。脆弱性に関するアドバイザリー公開についてSecuniaからAutonomyにメールで連絡したところ、Autonomy側は返信の書簡で、脆弱性が既に修正されていることを理由にアドバイザリーの公開を控えるよう要求。要求を無視すれば法的措置を取る構えを示した。

　既に修正済みの脆弱性に関するアドバイザリーの公開は、誤解と混乱を招くというのがAutonomy側の主張だったが、これに対してSecuniaは、どの脆弱性がどのバージョンで修正されたかを記載したアドバイザリーは、誤解も混乱も招かないと反論している。

　そもそも誤解と混乱が生じた原因は、AutonomyとOEMの間の協力体制の不備にあり、脆弱性とパッチに関する明確で具体的な情報が公開されていないことにあるとSecuniaは主張。

　SecuniaはMicrosoftやIBM、Symantecといったほとんどの大手ベンダーとの間で前向きな対話を持ち、これら各社は脆弱性情報公開の重要性を尊重しているのに、Autonomyのような一部ベンダーが、前世紀のソフトベンダーのような振る舞いをするのは残念なことだと皮肉っている。