世界中のハッカーが集まるセキュリティカンファレンスでは、ときにメジャーなソフトウエアやサービスに発見されていない脆弱性やバグが発表・公表されることがある。発表者は、そのシステムを会場で実際に攻撃をしてみせたり、そのしくみや手法、対策方法を発表する。

なぜセキュリティカンファレンスで脆弱性暴露が?

 発表の一部は、対象となったソフトやサービスを提供する会社に無断で行われるが、事前に企業に伝えたうえで発表されることもある。この場合は、報告を受けた企業側がすでに対策(セキュリティパッチやバージョンアップ)を発表しているか、あるいは企業側の判断で現実の攻撃リスクは高くないと判断されていることが多い。

 ハッカーや研究者が脆弱性を発見し、それを企業に伝えたが無視、逆に非難されたり訴訟を示唆(著作権法、業務妨害など)されたりした場合、企業に脆弱性の対応を促すために公表することもある。

 ハッカーや研究者が、このような行動をする理由はいくつかある。ひとつは、本当の攻撃者より先に発見した脆弱性を速やかに解消させる目的。いわゆるゼロデイ攻撃を未然に防ぐための対策だ。

 もうひとつの理由は、自分のハッキング能力やセキュリティ関連のスキルを学会・業界にアピールするためだ。ハッカーや研究者は、その能力を犯罪に使うのではなく守る側に貢献することで、専門科としてのプレゼンスを上げることができる。コンサルティングや技術顧問、プロジェクトアドバイザーなどへと仕事の幅が広がる。

国際的な脆弱性ハンドリングのルール

 しかし、企業側も自身のシステムやサービスについて脆弱性やバグを調べていないわけではない。マイクロソフトやアップル、グーグルのような大企業は、自社の責任で発見した脆弱性やバグのセキュリティアップデートを実施している。

 Windows、MacOS、Linux、Android、iOSの他、WordやExcelのようなアプリケーションなどは、定期的あるいは適時アップデートが公開されている。

 このように脆弱性情報を企業ごとに管理する場合、国際的に一貫性のある脆弱性情報の処理ルール(脆弱性ハンドリング)と、そのためのしくみ(脆弱性データベースや管理機関など)も存在する。日本ではIPAとJPCERT/CCが窓口となって、国際的なルールに合わせた脆弱性情報ハンドリングを行っている。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。