「2009年以降、個人のセキュリティ研究者などから、ゼロデイ脆弱性に関する情報を購入するプログラムを実施し、セキュリティ製品の強化に役立てている」。米ヒューレット・パッカード(HP)のセキュリティ研究所「DVLabs」のマネージャを務めるジョアンナ・バーキー氏(写真)は2013年10月9日、東京ビッグサイトで開催中の「ITpro EXPO 2013」において、同社のゼロデイ対策に関する取り組みを説明した。
ゼロデイ脆弱性とは、ソフトメーカーが未修正の脆弱性のこと。修正パッチや修正版が存在しないため、ゼロデイ脆弱性を突く攻撃(ゼロデイ攻撃)を防ぐことは難しい。
HPでも、一般に使われているソフトウエアにゼロデイ脆弱性が存在しないかどうかを独自に調べているが、それを補完する目的で、「Zero Day Initiative(ZDI)」というプログラムを2009年から実施している。
もともと、ZDIは米3Comのセキュリティ部門であるTippingPointが始めたプログラム。2010年にHPが3Comを買収したために、現在はHPが実施している。ちなみに、TippingPointも、最初は独立した企業だったが、2004年に3Comに買収され、その傘下に入った。TippingPointは、IPS(侵入防御システム)の製品名として、現在も使われている。
ZDIでは、個人のセキュリティ研究者が見つけたゼロデイ脆弱性の情報を購入している。2009年以降、現在までに5000件を超える脆弱性が報告され、そのうち2000件以上を購入したという。購入に至らなかった3000件は、攻撃に悪用できない脆弱性や、既知の脆弱性だった。
脆弱性情報の“買い取り価格”は非公表だが、他社が実施している脆弱性発見プログラムの報奨金と比べて、「十分魅力的な金額だ」(バーキー氏)。
HPでは、セキュリティのカンファレンスなどで実施される、脆弱性を見つけるコンテストにも賞金を出している。例えば、2013年3月にカナダで開かれたカンファレンス「CanSecWest」のコンテストでは、総額50万ドル以上の賞金を提供したという。
ZDIで購入した脆弱性情報は、TippingPoint IPSなどで利用される。「あるゼロデイ攻撃については、他社製品よりも6カ月早く防御できたことがある」(バーキー氏)。
