Last Updated on 2024-06-01 16:06 by 荒木 啓介
2023年には23,000以上の脆弱性が発見・公開された。これらの脆弱性のすべてに対してエクスプロイトが存在するわけではないが、新たに発表された脆弱性に対するエクスプロイトを最初に公開しようとする競争が激化している。このような状況は、脆弱性を修正する時間や人員がない組織に対する攻撃を直接的に可能にする危険な前例を作っている。セキュリティコミュニティは、新しいエクスプロイトに対して協調開示の姿勢を取るべきである。
協調開示とは、セキュリティ研究者が発見した脆弱性をベンダーに通知し、その研究を公開する前に修正の時間を与えることである。一方、完全開示は、セキュリティ研究者が制限なくできるだけ早く自分の研究を公開することである。Googleの脆弱性開示ポリシーは、協調開示の一般的に受け入れられた基準であり、Googleは自社のポリシーをそのまま使用することを公然と奨励している。このポリシーによると、Googleはベンダーに直ちに脆弱性を通知し、通知から90日後に脆弱性を公開する。
セキュリティ研究者やセキュリティ企業は、攻撃者が顧客を攻撃するのを助けることになるため、責任ある開示の原則に従うべきである。特に、脆弱性の研究は内部で行われ、制御されるべきであり、脆弱性を利用しようとする脅威アクターに利益をもたらすレベルの詳細で公開されるべきではない。公開された研究が脅威アクターによって監視され、そのツールキットに統合されることがあるため、研究の速度と開示の詳細は、特に組織のパッチ管理の現実を考慮すると、脅威インテリジェンスの効果を損ない、より大きな害を及ぼす可能性がある。
【ニュース解説】
2023年には23,000以上の脆弱性が発見され、公開されました。これらの脆弱性に対して、セキュリティ研究者間で新たに発表された脆弱性に対するエクスプロイトを最初に公開しようとする競争が激化しています。このような状況は、組織が脆弱性を修正するための時間や人員を確保することなく、攻撃者による攻撃を可能にする危険な前例を作っています。この問題に対処するため、セキュリティコミュニティは新しいエクスプロイトに対して協調開示の姿勢を取るべきだと提案されています。
協調開示とは、セキュリティ研究者がベンダーと連携して、発見した脆弱性を公開する前に修正の時間を与えるプロセスです。これに対して、完全開示は、研究者が自分の発見を制限なく、できるだけ早く公開することを意味します。Googleの脆弱性開示ポリシーは、協調開示の一般的に受け入れられた基準の一つであり、ベンダーに脆弱性を通知した後、90日後に公開することを基本としています。
セキュリティ研究者や企業は、攻撃者が顧客を攻撃するのを助けることになるため、責任ある開示の原則に従うべきです。脆弱性の研究は内部で行われ、制御されるべきであり、脅威アクターが脆弱性を利用するのを助けるような詳細な情報は公開されるべきではありません。公開された研究が脅威アクターに監視され、そのツールキットに統合されることがあるため、研究の速度と開示の詳細は、特に組織のパッチ管理の現実を考慮すると、脅威インテリジェンスの効果を損ない、より大きな害を及ぼす可能性があります。
この提案の背景には、セキュリティ研究者や企業が自己の名声やブランドのために、脆弱性やエクスプロイトの情報を急いで公開する傾向があります。しかし、このような行動は、組織が適切な対策を講じるための時間を奪い、結果としてセキュリティリスクを高めることになります。協調開示のアプローチを採用することで、セキュリティ研究者は組織が脆弱性を修正するための時間を確保し、攻撃者による悪用を防ぐことに貢献できます。このようなアプローチは、セキュリティコミュニティ全体の倫理的責任を強化し、より安全なデジタル環境の構築に寄与することが期待されます。
from An Argument for Coordinated Disclosure of New Exploits.
