米Microsoftは6月23日(米国時間),同社が6月に公開した「RRAS(リモート・アクセス・サービス)のセキュリティぜい弱性」を突く検証コードを公開したセキュリティ研究者に対して,Webで怒りをあらわにした。これに対して検証コードを公開したHD Moore氏(セキュリティ・ホール検証ツール「Metasploit Framework」の開発者)も,ブログで反論している。両者の意見を紹介しよう。

 Microsoftは6月13日(米国時間),一連の月例パッチのなかで「ルーティングとリモート・アクセスのぜい弱性により,リモートでコードが実行される(MS06-025)」という情報を公開した。その9日後,セキュリティ・ホール検証ツール「Metasploit Framework」の開発者であるHD Moore氏が,RRASのセキュリティ・ホールを利用する検証用コードを公開した。Metasploitは,検証コードを調査したり,検証コードを使ってペネトレーション・テスト(侵入試験)をしたり,侵入防御システム(IDS)用のシグネチャを開発したりするのを自動化するツールである。

 その後Microsoftは「マイクロソフト・セキュリティ・アドバイザリ(921923),リモート・アクセス接続マネージャ・サービスが影響を受ける検証用コードの公開について」というセキュリティ情報を公開し,Moore氏の検証用コードの存在を知っているとしたうえで,対応するパッチが利用できることを示すとともに,パッチを適用できないユーザー向けの回避策を提示した。

 このセキュリティ情報のなかでMicrosoftは,「あるセキュリティ研究者らが,アップデートのリリース直後はセキュリティ・ホールに関するデータ公表を控える,という業界で一般的に受け入れられている慣習に背き,コンピュータのユーザーに害を及ぼしかねない検証コードを公開した。当社はこうした行為に失望した」としている。

 一方HD Moore氏は自身のブログでこのMicrosoftのコメントを取り上げ,MicrosoftによるRRASパッチ提供の9日後に検証コード公開を決めた理由を説明するため,非常に長い反論を掲載した。

 Moore氏の立場は「アップデートのリリース直後はセキュリティ・ホールに関するデータ公表を控える,という業界で一般的に受け入れられている慣習」など存在しない,ということだろうか。同氏はこの立場を主張するため,定期的に未公開の検証コードを購入してその詳細情報を顧客に再販する企業が複数あることを指摘した。具体的には,米VeriSign傘下企業のiDEFENSE,米Digital Armaments,米Immunityなどである。ただしMoore氏の主張とは裏腹に,これら企業は検証コードを公開していない。Microsoftはこの点にこだわっているのだ。

 Moore氏はほかにも,ベンダーによる修正パッチのリリース時やその直後のタイミングで,決まったように関連する検証コードを公開する独立系研究者が大勢いることも指摘した。さらに同氏のブログには,「(検証コードをすぐに公開しないのは)プロプライエタリ・ソフトウエア(商用ソフトウエア)を手がける大規模ベンダーだけだ」とある。

 有名セキュリティ製品ベンダーが,かなり以前からより安全性の高い情報公開手段をとっていることは,この実例なのかもしれない。特に英Next Generation Security Softwareという企業は,対象となるソフトウエアのベンダーが修正パッチをリリースしてから3カ月以上経過しなければ,セキュリティ・ホールの詳細情報を公表しないようにしている。

 Moore氏はブログで,「自分の検証コードが,実際にはMicrosoftのMS06-025で言及されていないRAASの欠陥を使用している」と示した。しかしMicrosoftはセキュリティ情報のなかで,Moore氏の名前を出さないよう配慮しつつ,パッチ適用済みシステムはHD Moore氏の検証コードに影響されないとしている。

 問題は再び,昔からの「責任ある情報開示とはどのようなものなのか」という疑問に対する意見の相違にたどり着いた。最後に指摘しておく必要がある。HD Moore氏のMicrosoftに対する反論には,なかば自動化された検証コードがMicrosoftのパッチ・リリースからわずか9日後に公開されることは誰の利益になるのか,という説明が大きく抜け落ちている。

【お詫びと訂正】当初,HD Moore氏のブログのURLが間違って掲載されておりました。お詫びして訂正致します(7月4日)。