グーグル、深刻な脆弱性は60日以内に修正するようベンダー各社に要請

　Googleはソフトウェアメーカーに対し、深刻な脆弱性の修正に60日という期限を設けるよう求めるとともに、期間内に修正されない場合はGoogleが脆弱性の情報を公開すると警告している。

　Googleのセキュリティチームは、米国時間7月20日付のブログ投稿の中で、同社がソフトウェアベンダーとの間で定めている「行動規則」（rules of engagement）に加えた変更点を説明した。この行動規則は、同社がベンダー各社に脆弱性を報告する方法とタイミングについて定めたものだ。同チームは、セキュリティの専門家が「責任ある開示」のポリシーに従うことは、必ずしもエンドユーザーにとって最善の策にならないと主張している。このポリシーの下では、脆弱性は非公開のままベンダーに報告され、報告した側の研究者は、当のセキュリティホールが修正されるまで詳細情報を一般に公開せず待つことになる。

　Googleのセキュリティチームは、Google Online Security Blogで次のように書いている。「『責任ある』開示という大義名分を掲げるあまり、無期限に、時には何年も脆弱性の修正が遅れてしまうベンダーが増えている。こうして時間がたつ間に、倫理意識を持った研究者が使うものと同じツールや手法を用いる悪意あるユーザーによって、これらの脆弱性が再発見され、悪用される場合もある」

　今回の投稿では、Googleの従業員であるTavis Ormandy氏が執筆者として名を連ねている。同氏は6月、責任ある開示についてGoogleがこれまで定めていたガイドラインに従わなかったとして、批判を受けた人物だ。Ormandy氏は、「Windows XP」における深刻なセキュリティ脆弱性をMicrosoftに報告し、その5日後にこの脆弱性の分析結果と攻撃用の概念実証コードを、あるセキュリティ研究メーリングリストに公開した。

　Googleのセキュリティチームは、ベンダー各社について、研究者と同様に責任を持って行動するとともに、迅速に問題に対処する必要があると述べている。したがって、Googleは今後、セキュリティ上の脆弱性は一義的にはベンダーに開示されるものの、期限までに修正が公開されない場合、脆弱性は一般向けに開示されるべきだとの立場を取っていくという。

　「深刻なバグは、相応の期間内に修正される必要がある。個々のバグによって事情は異なるが、広範に普及しているソフトウェアの真に深刻な問題に対しては、妥当な期限として60日という期間を提案したい」と、Googleは述べている。