Last Updated on 2024-04-17 08:22 by 荒木 啓介
Delineaは、研究者が公開した後にSOAP APIの重大な欠陥を修正した。この欠陥は、特権アクセス管理プロバイダーに数週間前にバグを警告したと主張する研究者によって最初に公表された。Delineaは4月12日にSOAPエンドポイントの欠陥を初めて公開し、翌日にはクラウド展開の自動修正とオンプレミスのSecret Serversのダウンロードを展開した。しかし、研究者Johnny Yuは、2月12日からDelineaに責任を持って欠陥を報告しようと試みていたが、Delineaからは支払い顧客や組織に所属していないためケースを開く資格がないとの回答を受けたと述べている。CERT調整センターとの協力とDelineaからの数週間の無反応の後、Yuは2月10日に自身の研究結果を公開した。Delineaは対策の状況についての声明を提供したが、開示と対応のタイムラインに関する質問には応答しなかった。この問題は、誰が同社にバグを提出できるか、どのような状況で提出できるか、そしてDelineaが将来的に開示を管理する方法に何か変更があるかどうかについての疑問を残している。
この通信の欠如は、Delineaのパッチ処理プロセスに「問題」があることを示唆しているが、Critical Startの脅威研究シニアマネージャーであるCallie Guentherは、脆弱性管理の重圧が業界全体に影響を与えていると説明している。最近、国立科学技術研究所(NIST)は、国家脆弱性データベースに提出されるバグの数に追いつくことができなくなり、政府と民間部門に支援を求めた。Guentherは、「これはDelineaに特有の問題ではなく、技術企業が迅速な対応とパッチの徹底的なテストの必要性のバランスを取る上でしばしば直面する課題である」とDark Readingに対して説明している。この状況は、セキュリティプロトコルに挑戦する複雑さと脆弱性の量の大きな傾向を反映している。
【ニュース解説】
Delineaという企業が提供するSecret Serverという製品において、SOAP APIと呼ばれる部分に重大なセキュリティ上の欠陥が見つかりました。この欠陥は、特権アクセス管理を行う上で非常に重要な部分に関わるもので、悪用されると非常に深刻なセキュリティインシデントにつながる可能性があります。研究者のJohnny Yu氏がこの欠陥を発見し、Delineaに対して責任を持って報告しようと試みましたが、Yu氏が支払い顧客や組織に所属していないという理由で、Delineaからは適切な対応を受けられませんでした。そのため、Yu氏はCERT調整センターと協力し、公に研究結果を公開することにしました。Delineaはその後、この問題に対処するための修正を行いましたが、この一連のやり取りは、セキュリティ上の欠陥の報告と対応のプロセスにおける問題点を浮き彫りにしました。
この事例は、セキュリティ研究者と企業間のコミュニケーションの重要性を示しています。セキュリティ研究者が発見した脆弱性を企業が迅速に対処するためには、双方間での信頼関係と適切な報告チャネルの確立が不可欠です。また、この事例は、脆弱性の報告を受け付ける際に、報告者が顧客であるかどうかに関わらず、その内容を真摯に受け止め、迅速に対応することの重要性を示しています。
さらに、この事例は脆弱性管理の課題を浮き彫りにしています。国立科学技術研究所(NIST)が国家脆弱性データベースに提出されるバグの数に追いつけなくなっている現状は、技術の進化と共に新たな脆弱性が絶えず発見されること、そしてそれらに対応するためのリソースが限られていることを示しています。このような状況は、企業だけでなく、政府や民間部門全体での協力と努力を必要としています。
このニュースから学べる教訓は多岐にわたりますが、特にセキュリティ研究者と企業間のコミュニケーションの改善、脆弱性報告プロセスの透明性と迅速性の向上、そして脆弱性管理のためのリソース配分の最適化が重要なポイントとして挙げられます。これらの課題に対処することで、より安全なデジタル環境の実現に向けた一歩を踏み出すことができるでしょう。
from Delinea Fixes Flaw, But Only After Analyst Goes Public With Disclosure First.
