バグ研究者とソフトウェア企業、転換期を迎えた脆弱性報告のあり方

　ソフトウェアのバグを見つけ出すセキュリティ研究者たち、通称「バグハンター」は、脆弱性の報告をめぐる議論で、ソフトウェアメーカーに関係改善を求めている。

　近年、ソフトウェア企業は研究者との間で、情報開示のルールを確立してきた。いつ、どのようなかたちで、脆弱性に関する情報を公開するかを定めるルールだ。だが今、バグハンターたちは、ある種の見返りを求めている--ソフトウェア企業に対し、研究者が報告した脆弱性にどのように取り組んでいるのかについて、もっと情報を提供するよう要求しているのだ。

　Microsoftのセキュリティエンジニアリング戦略シニアディレクターSteven Lipner氏は、「われわれは、昔ながらの『全面的な開示』から『責任ある開示』へと議論を進めてきた。さらに今後は、『ベンダーは情報を得た--その情報をもとにベンダーは何を行うのか？』という議論に向かう」と話す。

　ソフトウェアベンダーに必要なのは、バグ情報を共有する研究者と付き合うための協定を確立することだと、専門家は指摘する。そうしなければ、脆弱性の「責任ある開示」に向けて築いた前進が失われ、以前の状態に逆戻りするおそれがある。

　多くのバグハンターは現在、ソフトウェア企業が提唱する「責任ある開示」のガイドラインに理解を示し、これに従っている。このガイドラインのもとでは、バグを発見した研究者は第一の手順として、影響を受けるソフトウェアのメーカーに連絡し、脆弱性に関する詳細な情報を伝えることになる。

　過去においては、研究者は「全面的な開示」を好む傾向があった。この場合、研究者らは、発見したセキュリティホールに関する詳しい情報を、修正パッチが提供されているかどうかに関係なく、メーリングリストやセキュリティを扱うサイトで発表していた。

　だが、企業側は、少なくともパッチの準備が整うまで、バグについての詳細を伏せておきたいと考えている。パッチが公開されていれば、セキュリティホールが見つかったソフトウェアを使うユーザーは、パッチを当てて穴をふさぎ、攻撃を未然に防ぐことができるというのが、ソフトウェア企業の言い分だ。反対に、全面的に開示された場合、ベンダーは大急ぎでパッチを準備することを余儀なくされ、その間にユーザーも危険にさらされる。

　「両者の間にある緊張は、つねに変わらない」と、GartnerのアナリストPaul Proctor氏は語る。Proctor氏は、8月初めに開催された「Black Hat」セキュリティカンファレンスで、情報開示がテーマのパネルディスカッションの司会を務めた。「研究者らは、ベンダーにもっと積極的になるよう求めている。ベンダーは、研究者にもっと思慮分別を示すよう求めている。どちらも、『より安全なインターネット』という同じゴールを目指しているが、そこに至る道筋の見方は異なっている」

協力を阻む厚い壁

　研究者の多くが「責任ある開示」の手順に従う一方で、自分たちの誠意が報いられていないと感じる研究者もいる。そういう研究者たちによれば、彼らの労力に敬意を払おうとしないソフトウェア企業が相手では、厚い壁に阻まれたように連絡がまったくとれなかったり、わずかな反応しか得られなかったりする場合が多いという。

　侵入防御システムを扱うTippingPointのセキュリティレスポンス担当マネージャーTerri Forslof氏は「製品のセキュリティを高めようと、誠意をもってソフトウェア企業に協力しようとしているのに、当の企業からまともな反応が返ってこないときほどがっかりすることはない」と語っている。Forslof氏は、TippingPointのバグ情報共有サービス「Zero Day Initiative」において、企業とのバグ情報共有に関する責任者を務めている。同氏の意見は、Black Hatのパネルディスカッションで多くの研究者が表明した感想を代弁するものだ。