McAfee Avert Labs Blog
「Zero-Day Threats, Part 2: Who’s Behind Them and Why?」より
June 14, 2007 Posted by Craig Schmugar

 パート1ではゼロデイ脅威の定義を示した。どのようなものか分かったところで,こうした脅威の生まれる仕組みや理由を考えよう。

 以前のセキュリティ研究者は,ソフトウエアのセキュリティ・ホールを見つるとメーカーやベンダーに報告した。ところが,こうした研究者や報告された情報は,無視されたり真剣に扱われなかったりすることが多かった。落胆した研究者たちは,きちんと問題を対処してもらい,意見に耳を傾けてもらうため,報告する以外の手段を探し始めた(この話の続きは,当社のポッドキャスティング「AudioParasitics」のうち,特別ゲストStuart McClure氏が登場した第4話第5話を聴いていただきたい)。

 その当時,研究者の動機は,「人々のために」戦うことと,ソフトウエアの安全性を高めることだった。もちろん,知名度を得ることや仲間から称賛されることにも大きな意味があった。

 現在は,別の重要な動機が生まれた。金銭だ。数百ドル程度の謝礼を支払う米モジラ・ファウンデーションや,1000ドルの賞金を出す米ベリサインのアイディフェンス,米スリーコムのティッピングポイント,米デジタル・アーマメントといったベンダーが存在する。最近では米ネットラグラードのSNOソフトが,ブラックマーケットの未公開企業や個人に対して,数千ドルもの情報料を出している。


セキュリティ・ホール報償金プログラム
======================================================
ベンダー                発表時期
------------------------------------------------------
アイディフェンス        2002年8月
モジラ                  2004年8月
ティッピングポイント    2005年7月
アイディフェンス        2005年7月(報奨金を2倍に増額)
デジタル・アーマメント  2005年10月
ネットラグラード        2007年1月
======================================================
出典:マカフィー


アイディフェンスのセキュリティ・ホール発見コンテスト
「Vulnerability Challenges」
==========================================================================
                           致命的な
                    セキュイティ・ホールを
実施期間                   探す対象                          賞金
--------------------------------------------------------------------------
2007年第2~3四半期      インフラ                      1万6000~2万4000ドル
2007年第1四半期         Windows Vista/IE7            8000~1万2000ドル
2006年第4四半期         インスタント・メッセージング  1万ドル
2006年第3四半期         Webブラウザ                   1万ドル
2006年第2四半期         データベース                  1万ドル
2006年第1四半期         マイクロソフト製品            1万ドル
==========================================================================
出典:マカフィー

 Charlie Miller氏は先ごろ発表した論文「The Legitimate Vulnerability Market:Inside the Secretive World of 0-day Exploit Sales」(合法的なセキュリティ・ホール市場:ゼロデイ検証コードが売買される知られざる世界の内側)で,セキュリティ・ホール情報を販売することの難しさを説明した。この論文に記された通り,買い手を集め,適正な価格で合意し,セキュリティ・ホールの有効性を証明したうえで,取引の当事者がいずれもやけどすることなく契約をまとめようとすると,数多くの障害に出会う。この種の問題に嫌気がさした多くの研究者は,情報提供の報酬として,富よりも名声を選ぶようになった。こうした研究者の一部は,定期的/計画的にセキュリティ・ホールを公開するブログを立ち上げるなど,さまざまな「Month of X Bug(MO_B)」(Xバグ月間)活動に従事した。MO_B活動も最初の数件は大きな注目を集めたが,同様の活動が7種類に達した今では飽きられ始めている。

 なぜゼロデイ脅威の情報を買い取るのだろう。研究機関は,顧客を保護し,セキュリティ・ホールの情報を顧客と共有するために,ゼロデイ脅威を買い取る報奨金プログラムを運営した。マーケティングおよび広報という意図もあったし,ベンダーに修正パッチの必要性を伝える目的もあった。個人の買い手も同じ理由で情報を買う必要があるだろうか。いや,個人の買い手に顧客はいないし,メディアから注目されることも望んではいない。セキュリティ・ホールに修正パッチを適用したいからだろうか。それでは情報の価値が下がるだけだ。個人ユーザーがセキュリティ・ホール情報の購入を望む理由として,あとは何が残るだろう。もちろん,攻撃を実行するためか,脅威の情報を転売するためかだ。サイバー戦争時代の現代では,政府がゼロデイ脅威の情報をブラックマーケットから消し去ると同時に,自陣営の防衛能力を強化するために,こうした情報を購入する可能性も考えられる。

 続きはパート3「いつ,どのように現れるのか」を読んでいただきたい。



◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「Zero-Day Threats, Part 2: Who’s Behind Them and Why?」でお読みいただけます。