logo

脆弱性情報に対する報酬は--セキュリティ研究者はどう振る舞うべきか

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎、編集部2010年07月13日 18時50分
  • このエントリーをはてなブックマークに追加

Michal Zalewski氏によるゲスト寄稿

 わたしには、これは単純なことに思える。セキュリティ研究コミュニティに公然と参加することには、同業者からの認知と就職の機会という恩恵がある。また、趣味としてそれを行うことには、他のことをしていれば得られたはずの潜在所得を失うというコストもある。一旦自分の名声を築いてしまうと、一部の人はこの恩恵はもはやコストに見合わないと判断して、金銭にならないプロジェクトに時間を割くのをやめる。簡単なことだ。

 しかし、尊敬すべき同業者の何人かは、違うことを考えている。2009年に、Alex Sotirov氏、Charlie Miller氏、Dino Dai Zovi氏は、無報酬のバグはあるべきではないと発言した。Miller氏自身の表現は以下のとおりだ。

 人々が企業に無料でバグを渡し続ける限り、企業は決してその努力を評価しようとは(あるいは見返りを与えようとは)しないだろう。わたしは、皆がこのばかげた慣習をやめて、自分の重労働の成果をただで渡すのをやめるよう勧める。

 この3人の研究者は、自分たちの(誰からも頼まれていない)研究が適切に報われていないと感じており、ベンダーや公の場にその情報を公開しないことを選んだ。しかし、彼らはその作業を非公開で続けており、本質的に確かめようがない秘密の発見について、時々自慢げに話している。

 これは、よい戦略だろうか。重要なのは、ほとんどのベンダーは営利的なインセンティブによって動かされ、彼らが適切だと思う分だけ、セキュリティへの取り組みに投資しているということであり、これは主としてPRの問題、契約上の義務、規制のリスクなどの外部要因によって影響されているということを認識することだ。完全な情報開示は、取り組みが不足している企業を公の場の監視下に置くことになり、それらの企業は取り組みの強化やセキュリティ専門家(つまりあなただ)の雇用を強いられるかも知れない。

 こういった企業が望んでいない圧力が存在するため、彼らは恐らく頼まれていない研究から恩恵を受けているとは言えない。このため、彼らのためだと思っているセキュリティ研究者との共同作業も行わないのだ。もしセキュリティ研究者が(適切な報酬がない限り)企業にとってPR上の問題になることをやると「脅し」をかけたら、就職の機会が失われたとしても驚くにはあたらない。

 ただし、このやり方を成立させる興味深い方法もないわけではない。「金を払わなければ・・・」というアプローチの「・・・」の部分には、次のような文言が入る可能性がある。

  • その情報を不特定の第三者に売り、その第三者はそれを好きなように使う(ベンダーの顧客に対して何らかの結果が生じる可能性がある)。
  • ベンダーに公衆の面前で恥をかかせ、その怠慢さを伝える(「X社は顧客の安全を、われわれが求めた1万ドルという価格よりも安く見ている」)。
  • ベンダーに対応する機会を与えないまま、世界中にその情報を公開する。

 問題が1つだけある。これらのやり方が非常に下品なものに見えるということだ。個人に関する真実の情報を公開することが合法である場合も多い一方で、脅迫に関与することはすべて違法であるということには十分かつ論争の余地がない理由があり、ここでも同様の議論が成立する。

 VUPENがまさにこの戦略を採用しようとしているというニュースを聞いて、わたしが失望した理由はこれだ。そして、そのことを指摘する人がほとんどいなかったことにも、同じように失望している。

 フランスのセキュリティサービスプロバイダVUPENは、最近になってリリースされたOffice 2010に2件の重大な脆弱性を発見したが、これらの脆弱性に関する情報と緩和策のアドバイスは、同社の顧客にのみ通知すると述べている。セキュリティ情報に掲載された情報によれば、これまでのところ同社は、Microsoftが同社に申し出た対価(セキュリティブリテンにおけるクレジットの表記)は不適切であるとして、Microsoftに詳細について伝えるつもりはないとしている。

 (VUPENの最高経営責任者(CEO)である)Bekrar氏は、「有償のソフトウェアをより安全にするために、セキュリティサービスプロバイダが情報を無料で渡さなくてはならない理由はない」と述べている。

 確かに、セキュリティ研究者が無料で情報を提供する必要はない。しかし、サービスを売るために圧力をかけるような戦術に頼らなくてはならないとすれば、大きな反省が必要ではないだろうか。

* Michal Zalewski氏はGoogleのセキュリティ研究者である。同氏は多くのセキュリティツールを作成および配布しており、これにはratproxy、skipfishブラウザセキュリティハンドブックなどが含まれている。同氏の発言は、lcamtuf's blogTwitterで追うことができる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集