「変なホテル舞浜」卵型ロボの脆弱性報告、なぜ「不審扱い」された? 不幸なすれ違いの背景:ITの過去から紡ぐIoTセキュリティ(2/3 ページ)
「変なホテル舞浜 東京ベイ」のロボット「Tapia」に、不正操作につながる脆弱性が存在していたことが明らかになりました。運営会社はセキュリティを強化する旨を発表しましたが、一連のプロセスから考えさせられることは多そうです。
2000年ごろは脆弱性やセキュリティホールといった言葉がまだ知られておらず、セキュリティ研究者が善意で脆弱性を指摘しても、企業からレスポンスがないケースがしばしばありました。脆弱性情報は隠す方が安全、という考え方が根強かったからです。
例えば、今でこそ脆弱性報奨金プログラムを設けている米Microsoftですら、かつては寄せられた報告に対して対応せず、業を煮やした研究者がSecurity FocusのようなデータベースやBugTraqといったメーリングリストに情報を投稿してしまうことがありました。また筆者が耳にしたある日本企業の話では、英語の見慣れない内容のメールをスパムと誤解し、放置していたケースもあったそうです。
確かに、「ある問題を脆弱性と見なすかどうか」は人によってぶれがあり、時に誤解に基づく指摘もあるといいます。脆弱性の存在が事実だとしても、説明が不十分だったり、人によっては脅迫と受け取られかねない表現があったりするのかもしれません。
ただ、指摘する側からすれば、脆弱性をそのまま放置していては利用者に被害が及ぶ恐れがあるという思いから、強い表現を用いることもあるのでしょう。残念ながら脆弱性情報を巡っては、そんなコミュニケーションのずれが多く、誤解が誤解を招いてしまうように思います。
問題を指摘しても対応しているように思えない研究者にとって、ゼロデイ状態で脆弱性情報を公開するのは企業に対応を促す最後の手段ですが、この場合、一番被害を受けるのはユーザーです。脆弱性を修正し、対処するにはある程度時間がかかります。一方で、ひとたびどんな脆弱性があるかが分かれば、それを悪用する方法を見つけるのは比較的簡単で、結果としてユーザーを取り巻くリスクが高まってしまいます。誰にとっても、これは本意ではないでしょう。
そこで、見つかった脆弱性情報を何でもかんでも公開する「フルディスクロージャー」という考え方に代わり、ベンダーと研究者、時にセキュリティ関連機関などの第三者も協調しながら脆弱性情報を共有し、対策が整った時点で公開する「責任ある情報公開」というアプローチが、最近では主流になってきています。
どうしても生まれる脆弱性、どう対処する?
残念ながらTapiaを巡る今回の動きは、2000年前後の脆弱性を巡るあれこれを彷彿(ほうふつ)とさせるもののように思います。
Copyright © ITmedia, Inc. All Rights Reserved.