オープンソースウェブブラウザのFirefoxに深刻なゼロデイ脆弱性を発見したと主張していたハッカーが、この脆弱性を利用してコンピュータを乗っ取ることは出来なかったと告白した。
米国時間9月30日、サンディエゴで開かれたイベントToorConで、Mischa Spiegelmock氏とAndrew Wbeelsoi氏はFirefoxのJavaScriptの処理に致命的なセキュリティホールが存在すると発言した。このとき両氏は、悪意あるJavaScriptを含むウェブページを作成するだけで、Firefoxを実行しているコンピュータを乗っ取ることができると説明した。2人は、発表でそのコードの一部を示した。
しかし、Spiegelmock氏はその発言を撤回した。Firefoxの開発を統括しているMozillaに送られた声明で、Spiegelmock氏は、プレゼンテーション中に示されたコードでは、Firefoxを実行しているPCを完全に乗っ取ることは出来ないと述べている。
「このコードでできたのは、Firefoxをクラッシュさせることと、システム資源を消費しつくすことだけだ。これで誰かのコンピュータを乗っ取り、任意のコードを実行するには至っていない」と同氏は述べており、この声明は10月2日にMozillaのウェブサイトに投稿された。
「話を面白くしたいと思って、あのような話をしてしまった」とSpiegelmock氏は述べた。「すべての関係者の方に謝罪する。現在、わたしは出来る限りにおいてすべての情報をはっきりさせたいと思う」(Spiegelmock氏)
Spiegelmock氏は、ハッカーがFirefoxについて30の未修正の脆弱性を知っていると発言したことについて、これは全面的に共同発表者のWbeelsoi氏からの情報に基づいていると述べた。「わたし自身は未発見のFirefoxの脆弱性を知らない。この発言は共同発表者のWbeelsoi氏がしたものであり、わたし自身は正直に言って、彼がそれを知っているのかどうかわからない」とSpiegelmock氏は書いている。このコメントについてWbeelsoi氏からコメントを得ることはできなかった。
ToorConでのプレゼンテーションは、Firefox開発者らを動揺させた。Mozillaのセキュリティ責任者であるWindow Snyder氏は10月3日、開発者たちは週末ずっとこの問題を調査していたと述べた。Mozillaのバグトラックウェブサイトにその形跡が残っている。
「今はMischaはわれわれに協力してくれている。われわれは彼が一緒に活動する決断をしてくれたことを歓迎するが、この件であまりにも多くの人が振り回されたことは残念だ」とSnyder氏は述べた。「資源の面でも、関係者が週末の家族との時間を失ったという面でも、この作業は高く付いた」(Snyder氏)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス