「パッチが未公開のセキュリティ・ホール(脆弱性)情報を公表する目的は,ベンダーに圧力をかけるため。公表の際には,攻撃者が利用できるような情報は決して出さない」---。米eEye Digital Security(以下,eEye)のSenior Software Engineerである鵜飼裕司氏は11月22日,IT Proの取材に対して,脆弱性の発見や公表に関する同社の取り組みについて説明した。
同社は,Windowsをはじめとするさまざまなソフトウエアの脆弱性を発見していることで知られるセキュリティ・ベンダー。同社は脆弱性を発見すると,その情報をベンダーだけに知らせる。詳細について事前に公表することはない。概要だけを記した「Upcoming Advisories」を公表するだけである。同社がUpcoming Advisoriesを公表している目的は,冒頭にあるように,早く対策するようベンダーに圧力をかけるためである。
Upcoming Advisoriesに記載されているのは,影響を受ける製品と影響度だけ。「Upcoming Advisoriesに書かれている情報を基に脆弱性を見つけられるような人なら,その情報なしでも見つけられる」(鵜飼氏)。この言葉にあるように,詳しい情報は書かれていない。「対策方法も書いてほしいという声があるが,記述すると攻撃者にヒントを与えることになるので控えている」(同氏)
ベンダーに対策を促すには,こういった形で圧力をかけることは不可欠であると鵜飼氏は言う。「例えば,米Microsoftはセキュリティに力を入れているというが,“100点”とは言いがたい。ユーザーのことを考えるとパッチを公開するのが遅すぎる。パッチの検証などに時間がかかるのは分かるが,リソースを投入すればもっと早く公開できるのではないだろうか」(鵜飼氏)
Upcoming Advisoriesで指摘された脆弱性をベンダーが修正すると,同社では詳しい情報を記述したアドバイザリとして公表する。同社のUpcoming Advisoriesおよびアドバイザリの日本語版は,同社の脆弱性検査ツール「Retina Network Security Scanner」を取り扱っている住商情報システムのWebサイトで公開している(関連記事)。
eEyeでは,脆弱性の発見や研究などに従事するチームである「eEye Research Team」の人員を増強し,同分野に対して今まで以上に力を入れている。最近,特に力を入れているのが「組み込みシステムの脆弱性に関する研究」(鵜飼氏)であるという。「組み込みシステムに対する攻撃は,理論的には可能であることが分かっているが,どの程度深刻な攻撃が可能なのかについては検証されていない」(同氏)
同社では,ある商用の組み込みシステムに脆弱性を発見し,ベンダーに報告しているという。「組み込みシステムでは,デザインおよび実装の両方で,セキュリティが考慮されていない。昔のWindowsに見つかったような脆弱性が今でも見つかる。開発者は,デザイン段階からセキュリティを意識する必要がある」(鵜飼氏)
◎参考資料
◆Upcoming Advisories(米eEye Digital Security)
◆Published Advisories(米eEye Digital Security)
◆eEye Advisories(住商情報システム)