[画像のクリックで拡大表示]
セキュリティ・ベンダーのフランス FrSIRTは現地時間3月15日,セキュリティ・ホール(脆弱性)を突くプログラム(「Exploit」や「PoC」などと呼ばれる)の公表を中止することを発表した。今後は,同社の有償サービス利用者のみに提供するという。
FrSIRTでは,ベンダーが発表した,あるいはセキュリティ関連のメーリング・リストやサイトなどで公表された,セキュリティ・ホールに関する情報(Advisory)とExploit/PoCに関する情報を同社Webサイトで公表してきた。Exploit/PoCに関する情報には,Exploit/PoCのソースコードも含まれる。
Exploit/PoCそのものを公表することは,セキュリティ・ホールを放置することの危険性を示すためには有用である。対策に役立てられる場合もある。しかし一方で,悪用される危険性もある。同社では後者の影響を重く見て,Exploit/PoC情報の公表を中止したものと考えられる。
今後は,セキュリティ・ホール情報を提供する有償サービス「Vulnerability Notification Service(VNS)」の利用者のみに,Exploit/PoC情報を提供するという。セキュリティ・ホールに関する情報については,従来どおり,同社サイトで公表する。
