ゼロデイ脆弱性の情報公開の正しい方法とは

2016.11.17

数日前、Windows 10 にローカル権限昇格の脆弱性が存在することを Google が Microsoft に対して公表した(リンク先:英語)というニュースがありました。この脆弱性は、直ちに適用できる修正が存在しないゼロデイ脆弱性です。ゼロデイ脆弱性を公表するということは、攻撃者がその情報に基づいて脆弱性を悪用できるようになることを意味します。


ニュースではあまり語られていませんが、Google は公表の 1 週間前にこの脆弱性を非公式に Microsoft に伝えていました。また Google は同時に Adobe に対しても、実際に悪用されている Flash の脆弱性 (CVE-2016-7855) を非公式に知らせています。Adobe は Google からの情報提供を受け、5 日後には Flash の修正プログラムを完成させ、すでにセキュリティアップデートを一般公開しています。


実際に悪用されている深刻な脆弱性に関して、Google はまずベンダーに非公式に通知し、修正プログラムを作成できるよう数日間待ってから情報を一般公開する、という情報開示方針を定めています。その理由を(リンク先:英語) Google は次のように述べています。


(引用文日本語訳) 現在進行形で悪用されている脆弱性については、より迅速な (具体的には 7 日以内の) 対応が必要だと Google は考えます。このように特別な規則を定めたのは、毎日のように新たな脆弱性が悪用されているにもかかわらず、情報開示もパッチの適用もされないままになっており、このままでは攻撃を受けるコンピュータが増加し続けてしまうからです。


Google がこのような懸念を抱くのは当然です。実際、Microsoft はその後、Google が情報開示したゼロデイ脆弱性が、情報開示以前にすでにロシアの標的型攻撃集団 Fancy Bear による攻撃で悪用されていたことを確認しています。


現時点ではまだ Microsoft から 当該の脆弱性の修正プログラムは公開されていませんが、ブログ記事には次回の月例パッチ (11 月 8 日) で提供を開始すると記されています。


一般的な脆弱性情報開示ポリシーとは


セキュリティ業界では脆弱性の情報開示に関する基準は取り決められていません。多くの企業が実践しているのは「責任ある情報開示」と呼ばれるものです。つまり、発見した脆弱性の詳細情報をベンダーに非公式に提供し、修正に必要な時間をベンダーに与え、問題が修正された後に脆弱性の情報を公表する、という方法です。


多くの場合、脆弱性の発見者がベンダーと協力して問題の修正にあたります。ベンダーが誠実に努力すれば、脆弱性は数週間から数か月で修正されます。ただし、修正の期限があらかじめ設定されるのが一般的です。Google は 60 日を推奨していますが、他の企業はそれよりも長く設定しています。


セキュリティ業界の誰もが「責任ある情報開示」の原則に同意しているわけではありません。無謀だと思われるやり方ですが、実際に悪用されている脆弱性はできるだけ早く情報を一般公開するのが最善の方法だと信じている人もいます。今回 Google は Adobe、Microsoft 両社に 7 日間の猶予を与えましたが、Google 以外の企業であったならば修正するチャンスを与えることなく、直ちに一般に公開していたかもしれません。


現在進行形で悪用されている脆弱性の情報が即座に公開される場合、その行動を後押ししているのは「世論が脆弱性の修正を迫れば、これまで無反応であったり非協力的であったりしたベンダーも問題を真剣に受け止めるようになるはずだ」という考え方です。しかし、新たな攻撃方法が公になってしまうため、この方法は裏目に出ることがあります。とは言え、迅速に対応しなければベンダーがしっぺ返しを食らう可能性もあります。


読者の皆さんは、脆弱性の情報を直ちに公開するのは無謀だと思いますか? 正しい方法だと思いますか? それとも Google のやり方が正解だったと思いますか?

引用元

おすすめの記事はこちら