19日(米国時間)にセキュリティの専門家が語ったところによると、ハッカーや脆弱性の研究者を結ぶ連合を結成しようという提案が支持を集めているという。
このグループは、ソフトウェアベンダーではなく研究者のためのもので、脆弱性開示のガイドラインを作成・提供するとともに、ソフトウェアに細工を加えることができるというセキュリティ研究者の能力を抑え付けかねない立法措置に反対していくという。米PivX Solutionsのシニアセキュリティリサーチャー、Thor Larholmによると、まだ名のないこのグループの活動開始を助けるために、30名以上の人が財政面の支援を約束しているという。
「まず、私が気になっていたことは、特定の利益団体はどれも、ベンダーがベンダーのために結成したものだということだ。われわれは、セキュリティ研究者のために何かをしたいと思っている。このグループは、単なる開示ポリシーだけではなく、研究者を助け、支持していく活動を展開する」(Larholm)
この動きは、今月18日にセキュリティのメーリングリスト上で初めて公式に提案されたもので、脆弱性関連情報の開示を抑えようという企業のPRと政府の方針に反対する、ハッカーとセキュリティ研究者による最新の動きとなる。
セキュリティ研究者とハッカーは長い間、論議を呼んでいるデジタルミレニアム著作権法(DMCA)を利用して、企業が自社ソフトウェア製品の脆弱性レポートを鎮圧するのではないかと懸念してきた。米Adobe Systems、米Diebold Election Systems、米GameSpy、米Hewlett-Packard、米SunComm Technologiesなどの企業はすでに、自社製品の欠陥を見つけたアマチュアやプロの研究者の身元を突き止めるのに、DMCAを利用している。あるシステム管理者を、一件のコンピュータ犯罪により有罪とした刑事事件が最近覆されたが、但しこれもその管理者が16カ月間の刑期を勤め上げた後になってのことだった。
脆弱性の研究者らを代表するグループはどれも、Organization for Internet Safety(OIF)と対抗する可能性がある。OIFは、米Microsoftや同社と関係のあるセキュリティベンダーが発足したもので、責任あるセキュリティ欠陥開示のためのガイドラインを提唱している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」