前回,ぜい弱性を発見した後,「報告する」「公開する」「隠蔽(いんぺい)する」「悪用する」「売却する」「交換する」という6種類の行動があると書きました。自分を宣伝することを目的としている私としては,悪用,売却,交換はやりませんから,報告,公開,隠蔽のどれかのカードを選ぶことになります。この中から1枚を選ぶときは,下記の4点について考えます。

  1. 当該アプリケーションの知名度や普及率
  2. ぜい弱性が影響を与える規模
  3. 発見の難易度
  4. 作者やベンダーの対応

 上記4点から私が導き出そうとしているのは,情報の露出度と宣伝効果です。あまり知られておらず,普及していないアプリケーションよりも,誰もが知っていて,たくさんの人が使っているアプリケーションで発見されたぜい弱性の方が情報の露出度が高いのは明らかです。情報の露出度が高いほど宣伝効果も高まりますから,「報告する」や「公開する」を選んだときの可能性が高くなります。逆に情報の露出度が低いほど「隠蔽する」(この場合、厳密に言えば知らんふりする」)を選ぶ可能性が高くなります。「報告する」「公開する」で費やされる労力を考えると,「隠蔽する」を選ぶ方が何もしなくて済んで楽だからです。

 情報の露出度と宣伝効果は,ぜい弱性が影響を与える規模によっても変わります。例えばリモートから任意のコードが実行されてしまうようなぜい弱性の場合,影響が大きいため騒ぎになる可能性が高く,結果として情報の露出度は高くなります。選ぶカードは「報告する」です。「公開する」を選ぶ手はありますが,この場合,公開したぜい弱性を悪用されて被害が拡大する恐れがあります。そうなると,批難を浴び,宣伝効果はかえって下がってしまいます。情報の一部が漏洩(ろうえい)するような致命的ではないぜい弱性の場合は影響が及ぶ規模も大きくないため,「公開する」を選ぶ可能性もあります。

 発見の難易度によっても選ぶカードは変わります。難易度が低ければ,同じぜい弱性を他のFinderが発見する可能性が高くなります。このとき,自分が作者やベンダーに報告しても,作者やベンダーがぜい弱性を修正して情報を公開するよりも先に他のFinderにぜい弱性情報を公開されてしまうと,先に公開された情報の方が露出度は高くなりがちです。こうした観点から,発見の難易度が高い場合は「報告する」を,難易度が低い場合は「公開する」を選ぶケースが多くなります。

 さらに作者やベンダーの対応によって,宣伝効果は変わります。作者やベンダーが公開するぜい弱性情報にFinderの名前や所属する組織名を記載しなかったり,ぜい弱性情報を公開しなかったりすると宣伝効果は下がります。結果として,このような対応をするベンダーの場合は「公開する」を選ぶ可能性が高くなり,ちゃんと名前や組織名を載せてくれるベンダーに対しては「報告する」を選ぶ可能性が高くなります。

 私が発見したIIS/5.0のぜい弱性(MS06-053)を例に挙げてみましょう。

 まず,知名度や普及率。マイクロソフトのWindows2000に含まれているIIS/5.0ということから知名度は高く,高い露出度が期待できることから「報告する」か「公開する」が有力となります。

 次に影響度。ぜい弱性が与える影響の規模としては,リモートから任意のコードが実行されてしまうようなぜい弱性ではなく影響の規模は大きくないことから,「報告する」か「公開する」が有力となります。

 発見の難易度としては,すでに公開されたぜい弱性情報をIIS/5.0に転用しただけなので低く,先に他のFinderにぜい弱性情報を公開されてしまう恐れがあることから,「公開する」が有力となります。

 最後の作者やベンダーの対応としては,マイクロソフトはぜい弱性情報にFinderの名前や所属する組織名を記載することから,「報告する」が有力となります。

 こうして「報告する」か「公開する」のどちらかを選択することになりましたが,結局「報告する」ことにしました。ぜい弱性が悪用される危険性や,ぜい弱性情報が書かれているWebページに名前が記載されることによる宣伝効果を考えた結果です。2005年12月にIPAのセキュリティセンターにある「ぜい弱性情報の届出」を利用して報告し,受理されました。これで,未知のぜい弱性として認定されたことになります。

 もしあなたが未知のぜい弱性を見付け,それを報告する際には,発見したぜい弱性について考えられる最も危険な悪用方法を,具体的に記載することをお勧めします。これを十分記載せずに報告をすると,場合によってはぜい弱性ではなくバグとして扱われてしまう恐れがあります。報告が受理された後は月1回程度メールで進捗確認を行い,2006年9月にマイクロソフトからぜい弱性情報としてMS06-053が公開されました。報告から公開までに約10カ月もかかっているのは気になりますが,とりあえず無事にぜい弱性が修正されて謝辞に私の名前が記載されている情報が公開されました。

 もし,修正パッチが提供されても,他のセキュリティ情報サイトやメーリングリストなどに,すでに公開されている以上の詳細なぜい弱性情報をすぐに提供するのはやめるべきでしょう。修正パッチが公開されてから数カ月程度経過するまで待たないと,修正パッチが普及するよりも先にぜい弱性を悪用した攻撃が多発してしまう恐れがあるからです。

 以上,ぜい弱性を発見したらどうするかについて私の考えを書いてみましたが,全てのFinderが同じ考えで行動しているわけではありません。あくまで,一例として読んでいただければ幸いです。

 今回はぜい弱性を報告する立場での話を書きましたが,私は報告を受ける側の立場も経験したことがあります。そのうち「未知のぜい弱性を発見された。どーすんの!?オレ」という,報告を受ける立場での話も書きたいと思います。

■著者 プロフィール
Eiji James Yoshida
1999年から今までに数多くの企業や省庁のセキュリティ診断を担当。主にセキュリティ・ホールや侵入技術の研究を手掛け、その研究成果を基にセキュリティ診断や教育、執筆活動を行っている。「セキュリティ徒然草」では、セキュリティ診断やセキュリティ・ホールに関する話題の他にも、セキュリティに関するよしなしごとをおもいのままに書き綴る。「penetration technique research site」や「Eiji James Yoshidaの記録」でも情報提供中。