メディアは「Tavis氏が公表していないのに、どうやって攻撃者がこのセキュリティホールを知ることができるのか」と聞くが、バグハンターならこんな発言は話にならないということを知っている。セキュリティ研究は、他の科学的研究と同じように、鳥の群れのように動く。Leibniz氏がNewton氏の研究をスパイしていなかったことはほぼ確実だろうが、それでも彼らは同じ時期に微積分を生み出した。彼らは同じ環境に置かれ、同じ問題に取り組んでいたため、同じ解法を生み出したのだ。他の研究者が報告してしまったため、自分が見つけていたバグが無駄になってしまった研究者はわたしだけではないはずだ。わたしは過去1年間で、市場で売っていれば6万5000ドルを超えたであろうバグを無駄にした。バグが公知になると、企業はその脆弱性に対する保護手段を作れるようになるため、そのバグの価値はほぼ0になる。わたしが無駄にしたバグは、5年以上も前からあったものだが、それでもわたしや他の研究者が、数カ月の間にそれぞれ別個に発見している。
他に誰もそのバグを発見していなくても、攻撃者がそれについて知る方法は他にもある。高名な研究者やその企業は、諜報の標的になっていると考えるのが自然だ。彼らの研究の価値は高く、攻撃者が未知の攻撃方法を入手でき、その問題が60日間は修正されないと分かれば、攻撃者の勝利だ。Tavis氏は修正までに不適切に時間をかけることを拒否することによって、価値の高い標的を守ったのだ。Tavis氏は企業に(さもなければ知られなかったであろう)脆弱性に関する情報を知らせることによって、この脆弱性の価値を低下させた。
要するに、一部の人だけが情報を持っている場合、その情報は非常に価値が高く、有用だということだ。誰もがその情報を持っていれば、誰もがそれを利用できるが、価値は大きく下がる。Tavis氏は今回の脆弱性の価値を下げたわけだ。確かに、Tavis氏がしたことのせいで、感謝祭の日に母親を訪ねたとき、コンピュータを再インストールしなくてはならなくなるかも知れない。それでも、Tavis氏がしたことは、母親を訪ねたときに電源がきちんと来ていることを守るということだ。世間がどういうレッテルを貼ろうと、Tavis氏の行動は責任あるものだったと言える。
今回の場合、「責任ある開示」は決して責任ある行動ではなかった。
* Lurene Grenier氏は、Sourcefire VRTでアナリストと研究者のチームを率いており、Metasploit Frameworkチームで活動している開発者でもある。同氏は主に、知的ファジングフレームワークを用いた攻撃手法開発の自動化に関する研究を行っている。同氏はリバースエンジニアリングの専門家であり、多くの著名なプロフェッショナルセキュリティチームに同スキルを教えている。Grenier氏はまた、有名なAdobe Acrobat ReaderのJBIG2の処理にあったゼロデイ脆弱性の解析と修正を行ったことでも知られている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)