Googleがセキュリティ対策の新方針 「深刻な脆弱性は情報公開を急ぐべき」

[鈴木聖子，ITmedia]

　ソフトウェアの未解決の脆弱性を突く攻撃（ゼロデイ攻撃）が横行している実態を受けて、米Googleは5月29日、こうした攻撃に利用されている深刻な脆弱性については、メーカー側が7日以内に対応すべきとの見解を打ち出した。7日が経過した時点で、発見者による情報の公開を促すと表明している。

　ゼロデイ攻撃をめぐっては、社外のセキュリティ研究者がMicrosoftやAdobe Systemsといった大手メーカーのソフトウェアに存在する未解決の脆弱性を発見して通知しても、メーカー側がその情報を公表して対処するまでに時間がかかる場合があり、Googleなどが問題視していた。

　Googleはこれまで、「深刻な脆弱性は60日以内に修正すべきであり、それができない場合は情報を公開して一時的な回避策を提示すべき」との立場を取ってきた。

　今回はさらに、「実際に悪用されている重大な脆弱性については、もっと緊急な対応が必要」だとして、7日以内の情報公開という期限を打ち出した。その理由として、脆弱性が悪用されている実態が公表されず、対策が講じられない日数が長引くほど、被害に遭うコンピュータが増えると指摘する。

　「7日という期限は一部メーカーにとっては短か過ぎて製品のアップデートは間に合わないかもしれないが、当面の回避策についてアドバイスを公開するだけの時間は十分にある」とGoogleは主張。この独自基準に従って、7日が経過してもメーカーが修正パッチや脆弱性情報を公開しない場合は、研究者による情報の公開を支援すると明言した。

　Googleの研究者はこれまでも実際に、Microsoft製品に存在する未解決の脆弱性情報を公開するなどの行動に出ており、過去には公開の在り方をめぐってMicrosoftと対立した経緯もある。