真相はいかに--英セキュリティ企業、Windows XP SP2の欠陥をリーク

　Finjan Softwareという英国のセキュリティツールメーカーは10日、MicrosoftのWindows XP Service Pack 2のなかに、最高10カ所の欠陥を発見したと警告を発した。

　同社の主張によれば、この脆弱性を悪用することでリモートから被害者のファイルにアクセスできるようになり、ネットの脅威に対するセキュリティ手段を無効化でき、またユーザーに気づかれずにプログラムを実行できてしまうという。ただし、同社の声明には詳細な説明はほとんど記されていなかった。

　同社CEO（最高経営責任者）のShlomo Touboulはこの声明のなかで、Windows XP SP2は「基本的に内容が変わっておらず、エンドユーザーのセキュリティを危険にさらす重大な欠陥がいくつか残されている」と述べ、さらに「ユーザーは、Finjanの予防セキュリティソリューションを利用することで、このような脆弱性からマシンを保護する安全な環境を確保できる」と付け加えている。

　多くのセキュリティ企業では、脆弱性を見つけた場合、まずMicrosoftによる修正を待つが、Finjanは今回そうした対応を取らなかった。さらに同社は、この発表を利用して自社製品を売り込んだ。

　Microsoftがパッチを出す前にセキュリティ研究者らが同社製品の欠陥を公表するケースはこれまでにもあった。しかし、セキュリティ関連企業は、Microsoftが顧客を保護する手段を用意するまで脆弱性公表を控えるのが一般的だった。Finjanが発表したプレスリリースは、ソフトウェアの欠陥に関する責任ある情報開示とは何かという論争を再燃させた。

　MicrosoftのDebby Fry Wilson（セキュリティビジネス／技術部門マーケティングディレクター）は、今回の件に関し、Finjanによる欠陥報告は多くが誇張あるいは完全な誤りだ、とする同社の見解を明らかにした。

　「彼らの行動は時期尚早であり、市場を混乱させるものであって、対象範囲と深刻度を誇張していると痛切に感じている。われわれは、Finjanが顧客および顧客のセキュリティにとっての最善策を講じるのではなく、PRに走ったことに深く落胆している」（Wilson）

　しかし、FinjanではWindows XP Service Pack 2がネットの攻撃を完全に防いでくれる要砦ではないことをユーザーに警告しているだけだ、と同社CEOは主張。同氏は、このプレスリリースが啓蒙を目的としたものであり、作り話ではないと説明した。

　「ユーザーは慎重にならなければならないことを知る必要がある・・・それを理解してもらうには啓蒙活動が必要だ」とTouboulはCNET News.comとのインタビューで語った。「われわれはユーザーに脅しをかけているのではない」（Touboul）

　セキュリティ業界では、ソフトウェア会社に対して、欠陥を公表するまでに30日間の修正期間を与えることが通例となっているが、TouboulはFinjanがMicrosoftにこの修正期間を与えたかどうかはコメントせず、ただ十分な時間と情報を提供してこの問題に対応するよう求めたと主張しただけだった。

　「これらの点に関してMicrosoftと議論したくはない。われわれは19件の脆弱性を発見した、そして（それを悪用されると）コンピュータを別のマシンから操作できてしまうことを示した」（Touboul）

　しかし、MicrosoftのWilsonはFinjanの動きを問題としており、自社では何件の欠陥が本物かという点についてFinjanの考えに同意していないと述べている。