なぜセキュリティ・ホールをきちんと公開しないのか？

勝村幸博

2003.07.18

　ソフトウエアにセキュリティ・ホールが見つかることは，ある程度仕方がない。問題は，見つかった場合の対応である。影響を受けるユーザーすべてが分かるような形で，セキュリティ・ホール情報と修正パッチなどを公表することが重要だ。セキュリティ・ホールが全く存在しない製品を提供できない以上，情報公開はベンダーの義務である。

　しかし，ベンダーはそうは考えていないようだ。以前に比べれば改善されてきた感はあるものの，セキュリティ・ホールが見つかっても積極的には公表しないベンダーが少なくない。セキュリティ・ホールを修正するパッチや，セキュリティ・ホールをふさいだ修正版を作成しても“ひっそり”と公開している。パッチの適用やバージョンアップといった対応策が存在するにもかかわらず，きちんとセキュリティ情報を公開しない。

　セキュリティ・ホールが見つかったことを公にすると，イメージ・ダウンになると考えての行動なのだろうが，隠すことで逆にイメージ・ダウンになるばかりか，大切な顧客を危険にさらすことになる。セキュリティ製品やサービスを提供する，いわゆるセキュリティ・ベンダーでさえも，認識が甘いようだ。

セキュリティ・サービスにセキュリティ・ホール

　6月末，国内の大手セキュリティ・ベンダーであるシマンテックとトレンドマイクロがそれぞれ提供する無償のセキュリティ・チェック・サービスにセキュリティ・ホールが見つかった。サービスを利用するとダウンロードされるActive Xコントロールにセキュリティ・ホールが存在したのだ（シマンテックの情報，トレンドマイクロの情報）。

　サービスを一度でも利用したことがあるユーザーが，細工が施されたWebページにアクセスすると，ページに仕込まれた悪意があるプログラム（ウイルスなど）を実行させられる恐れがある。とても深刻なセキュリティ・ホールである。発見したのは外部の人間である。発見者の報告を受けて，両社ともセキュリティ・ホールに関する情報とセキュリティ・ホールを修正したActive Xコントロールを公開した。新しいコントロールをインストールして，セキュリティ・ホールがある古いコントロールを上書きすれば，とりあえずセキュリティ・ホールはふさげる。

　ここまでは適切な対応である。問題は，情報の公開方法だ。7月17日現在，両社とも，該当するセキュリティ・ホール情報のリンクは，トップページには置いていない。問題があったサービスのページや“深い”ページからしかアクセスできない。プレスリリースやニュースとしても公開していない。

　問題があったサービスのページへアクセスするのは，サービスを利用するつもりのユーザーがほとんどだろう。前述のように，セキュリティ・ホールを解消する方法はサービスを再度利用することだ。放っておいてもセキュリティ・ホールを解消するであろうユーザーにだけ，セキュリティ・ホールの存在を伝えても効果は少ない。もっと目立つページで知らせなければ意味はない。

　筆者が両社のサービスのセキュリティ・ホールを知ったのは，いずれもメーリング・リストへの投稿からである。シマンテックのサービスのセキュリティ・ホールについては，見つかった直後に知ったので，ニュースとして報じることができた（関連記事）。

　しかし，うかつにもトレンドマイクロのサービスのセキュリティ・ホールを知ったのは2週間後になってしまった。両社のサービスのセキュリティ・ホールを見つけたのは同じ人物で，その人物が投稿した「米Trend Microの『HouseCall』サービスにはセキュリティ・ホールがあったのに，同社はきちんと告知しない」と憤るメールで知った。HouseCallサービスとは，日本のトレンドマイクロで言うところの「ウイルスバスターオンラインスキャン」である。同サービスのページにアクセスすると，7月2日付けのセキュリティ情報を見つけることができた。

　今回セキュリティ・ホールが見つかったサービスはいずれも無償で，両社とも「サポート対象外」とうたっている。だからといって，情報を分かりやすく公開しなくてもいいということにはならないだろう。セキュリティを高めるためのサービスを利用して，セキュリティ・ホールを抱え込むことになるなんてシャレにならない。今からでも遅くはない。きちんと情報を公開してもらいたい。

セキュリティ・ホールの公開はユーザーのため

　この記事では，シマンテックとトレンドマイクロに言及したが，他のベンダーも同様である。両社のサービスに最近セキュリティ・ホールが見つかったので取り上げたに過ぎない。ひどいベンダーになると，セキュリティ・ホールが見つかって，その情報がメーリング・リストなどに流れても知らないふりをしている。情報を公開しないばかりか，修正パッチや修正バージョンを作成することすらしない。

　セキュリティ・ホール情報を分かりやすく公開するのとしないのでは，どちらがユーザーのためになるだろうか。セキュリティ・ホールを悪用した攻撃が出現したときに，たとえ修正版を公開していたとしても，事前に全ユーザーに修正版へのバージョンアップを勧めていたベンダーと，「（情報は公開していなかったが）最新版にしていれば攻撃を受けないので大丈夫。（勧めていないが）ほとんどのユーザーは最新版にしているはず」などと言い訳するベンダーとでは，ユーザーにとってどちらが信用できるだろうか。

　「セキュリティ・ホールを公開すると『寝た子を起こす』ことになる」などと，使い古された言い訳は通用しない。攻撃するつもりなら，メーリング・リストなどで情報を入手できる。ベンダーが情報を公開しようとしまいと関係はない。それに，「対応策がなくても公開しろ」あるいは「具体的な攻撃方法を公開しろ」と言っているのではない。「何が問題で，どういった影響を受ける恐れがあって，どのように対策すればよいのか」を分かりやすく知らせれば十分である。

　少し古い話ではあるが，「セキュリティ・ホールがあるなんて言うと，一般ユーザーはいたずらに怖がってしまう。セキュリティなんて分からないのだから知らせないのが一番」と話してくれたソフトウエア・ベンダーの方がいた。だが，筆者は，セキュリティ・ホールをきちんと公開しないベンダーは，決してユーザーの信頼を得られないと思うのである。