筆者は1カ月ほど前に,ぜい弱性研究の世界における新しい潮流を紹介した。Intellectual Weaponsと呼ばれる会社が,研究者と共同でセキュリティぜい弱性の修正方法を開発し,それの特許権をとると主張している動きだ。彼らの狙いは,特許権の販売や特許権損害訴訟の和解を通じて利益を得ることだった(関連記事:セキュリティ修正が特許の対象に)。

 その後,3ComやiDefenseといった他の企業も,ぜい弱性情報の対価として研究者に報酬を支払うプログラムを開始したことは,おそらく読者の皆様もご存知だろう。それら2社のプログラムでは,ぜい弱性の発見者は自らの努力の対価として現金を受け取り,3ComやiDefenseも仕入れた情報を何らかの方法で自らの顧客ネットワークに売ることによって,利益を得る仕組みになっている。

 今月,スイスに拠点を置くWabiSabiLabiという別の会社が,ぜい弱性を対象とするオークション市場を提供するという形で,この分野に参入した。この市場では,研究者は4種類あるオークション方式(「従来のオークション方式」,「ダッチ方式(競争売買で売れるまで値下げしていくやり方)」「今すぐ購入する方式」「独占的に購入する方式」)の中から選んだ1つの方式に基づいてぜい弱性を出品し,そのぜい弱性が落札されれば,利益を得られる。そして,WabiSabiLabiも,その利益の一部を受け取る仕組みになっているのだ。

 このオークションに対する反応は様々だ。どんな人物が実際にぜい弱性を購入しているのか判別する方法がないので,オークションは非常に愚かな考えだとみなす人もいる。購入者の本人確認には最善を尽くすとWabiSabiLabiは言っているが,だからといって問題が起きないという保証はない。本物の悪党は,別人に購入作業を行わせることなど,簡単にやってのけるからだ。

 さらにWabiSabiLabiは,ぜい弱性によって影響を受ける特定のベンダーに通知をすべきかどうかという判断を,発見者に任せているのだ。この事実も,同オークション・サイトの問題点として指摘されている。WabiSabiLabiが公言しているように,要するに彼らはこのポリシーによって,「伝統的なスイスの中立性」を維持しているのだ。

 これまでのところ,WabiSabiLabiのサイトでは4種類のぜい弱性が売りに出されている。それぞれ,「Yahoo! Instant Messenger」と「SquirrelMail GPGプラグイン」,「Pidgin Instant Messenger」,Linuxカーネルを対象とするぜい弱性だ。Montasano Securityが自社のブログで指摘したように,GPGプラグインの問題は,PHPコードの分析に精通した者なら,誰でも見つけられるような性質のものだ。さらに,Linuxカーネルの問題については,何者かが既にエクスプロイトを公開しているのである。従って,WabiSabiLabiのオークションの出品アイテムの半分は,金銭的価値という観点から見ると,ほとんど価値のないものなのだ。そして,Linuxカーネルのエクスプロイトは,WabiSabiLabiが世界中のシステム・セキュリティに既にマイナスの影響を与えていることを,明白に示している。

 同社のプレス・リリースの声明には,次のように書かれている。「ぜい弱性を発見する研究者はたくさんいるが,彼らの多くは見つけたぜい弱性が不正に利用されることを恐れて,適切な人々にそれを届け出ることができない,あるいは積極的に届け出ようとしない。『WabiSabiLabi』が,セキュリティ研究の成果を販売するこのポータルを立ち上げたのは,そのためだ。」。

 筆者が全く理解できないのは,開発者にお金を払ってコードを記述してもらい,そのコードに品質保証テストを行うことは喜んでするのに,そのコードの重大な問題,とりわけセキュリティ関連の問題を見つけた外部の人物にお金を払うことには難色を示す企業がある,ということだ。この長年に渡るこう着状態を解決するには,発見者が一定の開示ポリシーに従うという条件なら,ぜい弱性情報を発見した人物にお金を払ってもいいという企業を集めて,新しいグループを設立するといいかもしれない。基本的には,3ComとiDefenseが既に行っていることと同じだが,もっと参加するベンダーの数を増やしてそれをやるのだ。

 セキュリティ研究者の重労働に報酬を支払う必要性については,筆者も支持している。そして,多くのベンダーが独立系の研究者にお金を払うことを渋っているのは,憂慮すべき事態だ。それでも,筆者はWabiSabiLabiが効果的なソリューションだとは思わない。これから先,WabiSabiLabiが売ろうとするぜい弱性の本質を暴くことによって,人々がWabiSabiLabiの企てを阻み続けるかどうかが見ものである。