脆弱性における研究者とベンダーのベストな関係とは?

When vulnerability disclosure goes sour: New GitHub repo details legal threats and risks faced by ethical hackers

2021/04/16 PortSwigger — Research Threats Project は、セキュリティ上に欠陥を抱えるソフトウェアについて、それを発見した研究者と、責任を持つべき組織との間に発生した、歴史的な訴訟を詳述するものである。このプロジェクトは、セキュリティ研究者であり「脆弱性の歴史家」でもある Jericho が、2009年に立ち上げた Errata というプロジェクトで確立した、リストに集められたデータをもとに構築されている。

Jericho は、「そのとき以来、研究を妨げようとすることが、とんでもない負け戦であり、また、間違ったアプローチであるという点について、あらゆる指摘が繰返してなされた。目標は、そのような戦術をとる企業を明確にリストアップし、妨害行為から研究者たちを保護する点にある。たとえば、あるベンダーの製品の脆弱性を公開する場合は、匿名で行うなどの手段を講じて欲しい」と述べている。Jericho と Casey John Ellis とともにレポを管理している研究者の Sick Codes は、「研究者と組織の双方に対して、情報のアップロードと変更の機会を与えるために、GitHub への移行は行われたものであり、従来からの Web サイトでは起こり得なかったものだ」と述べている。

Research Threats プロジェクトには、研究者と組織の双方が、完璧に協調して情報開示を行うためのガイダンスが含まれています。リンク先である GitHub の年表について Sick Codes は、こうした情報を開示することで、倫理的ハッキングに対する特定企業の態度を、歴史的な変化と共に示すことができると述べています。

このリストの中で注目すべきは、2008年に Apple が Black Hat での講演をキャンセルしたと非難された、2つの項目です。1つは秘密保持契約のため、もう1つは同社のマーケティング・チームが危惧したためだと言われています。研究者とベンダーが歩調を合わせて、ゼロデイを作らないようにしながら、脆弱性に関する情報と対策を開示するのが理想的ですが、そうならないケースも多いはずです。そのため、Google Project Zero などが立ち上げられたわけですが、ここで 90日間の猶予を与えられながら、対策を怠るベンダーもいるようです。

%d bloggers like this: