悪用多発のゼロデイ脆弱性「Follina」 外部の研究者が危険性指摘、Microsoftの対応巡り批判も:この頃、セキュリティ界隈で(2/2 ページ)
「Follina」と呼ばれるゼロデイの脆弱性が、Microsoftの6月14日の月例セキュリティ更新プログラムで修正された。同社は、いったんはセキュリティ問題ではないと見なしていたことも判明。Microsoftの脆弱性に対する対応や情報開示の在り方に関する論議も起きている。
Microsoftの脆弱性への対応に疑問の声
今回の問題をきっかけに、脆弱性に対するMicrosoftの全般的な対応に疑問を投げ掛ける声も出ている。セキュリティ企業、米Tenableのアミット・ヨランCEOは「Microsoftの脆弱性対応は顧客を危険にさらす」と題したブログの中で、同社の対応は透明性が欠如していると批判した。
「この問題はあまりに重要なので、黙っているわけにはいかないと思った。どれほど多くのセキュリティプロフェッショナルや研究者が弁護士に黙らされたり、自分の声を届けるプラットフォームを持たずにいるかは想像に難くない」とヨランCEOは言う。
同氏によると、Tenableは3月にAzureの脆弱性2件を発見し、Microsoftに報告した。両方とも悪用可能な脆弱性だったが、Microsoftはリスクは低いと見積もり、このうち1件をひそかに修正したという。
しかしこれに関してTenableが情報を公開すると告げたところ、Microsoftは最初の連絡から89日たって態度を変え、この問題の重大性を非公式に認めたが、顧客には今に至るまで知らせていないとヨランCEOは主張する。
「この行動パターンは繰り返されている。脆弱性がユーザーに及ぼすリスクに関するMicrosoftの否定的な態度については複数のセキュリティ企業が記している」とヨランCEOは訴え、パッチ公開前にFollinaの危険性を指摘したセキュリティ各社のブログを例に挙げている。
「詳しい情報がタイミング良く公開されなければ、顧客は自分たちが攻撃に対して脆弱なのかどうか、パッチが公開される前に被害に遭っていたのかどうかが全く分からない。通知がなければ、自分たちが攻撃されたかどうかの痕跡を探す機会が奪われる。極めて無責任なポリシーだ」(ヨランCEO)
米メディアThe Recordによると、Tenableが報告したAzureの脆弱性についてMicrosoftは、脆弱性識別番号は顧客側の対応が必要な問題にのみ割り当てているが、この問題は顧客側の対応が不要だったと説明している。
かつてMicrosoftセキュリティチームの一員で、現在はセキュリティ企業のCTOを務めるアーロン・ターナー氏は双方の立場に理解を示す。同氏はThe Recordの取材に対し、責任ある開示のルールはアップデートする必要があると指摘。PaaSやIaaSの中核技術に関しては、調査研究や責任ある開示にまつわるルールをはっきりさせる必要があると語っている。
関連記事
- Microsoft、5月末発表の悪用されたゼロデイ脆弱性「Follina」を修正
Microsoftが5月末に発表した「悪用されたことが確認された」ゼロデイ脆弱性を修正した。6月の月例更新ではこの他、3件の重要度最高のものを含む多数の脆弱性に対処。Microsoftは、可能な限り早く適用するよう勧めている。 - Emotetに「Google Chrome」内のクレカ情報を盗む機能が追加される 警察庁が注意喚起
警察庁は、マルウェア「Emotet」の最新の解析結果を公表した。「Google Chrome」に保存されたクレジットカード番号や名義人氏名、カードの有効期限を盗み、外部に送信する機能が追加されたことを確認したという。 - 続出する公的機関の偽サイトに国が注意喚起 「必ずドメインを確認して」
内閣サイバーセキュリティセンターが、地方自治体などをかたる偽サイトを確認したとして注意喚起。自治体などの偽サイトを巡っては、長野県長野市などが、特定の検索エンジンを使ったとき、偽物が本物より上位に表示されるとして、注意を呼び掛けている。 - フリマアプリ「スニーカーダンク」に不正アクセス 最大約275万件の顧客情報が漏えい
スニーカーなどの売買ができるフリマアプリ「SNKRDUNK」を運営するSODAは、同サービスで不正アクセスが発生したと発表した。最大で275万3400件の個人情報が漏えいした可能性があるという。 - Bluetoothから個別のスマートフォンを識別し追跡するサイバー攻撃 米国チームが論文発表
米University of California, San Diegoの研究チームは、Bluetoothの脆弱性を突いて、スマートフォンを識別し追跡できることを実証した論文を発表した。
Copyright © ITmedia, Inc. All Rights Reserved.