情報セキュリティ早期警戒パートナーシップにおいて修正がなされない場合の運用
2009年1月15日(木曜日)
情報セキュリティ早期警戒パートナーシップにおいて修正がなされない場合の運用
更新: 2024年12月22日15時10分頃
「続: Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか (d.hatena.ne.jp)」という話があるようですが、情報セキュリティ早期警戒パートナーシップに関する部分について少しメモしておきます。
通常であれば、IPAがガイドラインにて提示し報告を受け付ける脆弱性情報は、アプリケーション等の作者等に連絡され、相応の対応期間を経て対応が為されない場合は公開される。
「情報セキュリティ早期警戒パートナーシップガイドライン」では、取扱開始から45日後を公表の目安としています。では、45日を過ぎても修正されなかったらどうなるのでしょうか。普通に考えると「当然公開されるよね?」と思えるのですが、実はガイドラインにはその点は明記されていないのですね。
では、実際の運用ではどうなっているのかというと、期間が過ぎたので公開されたという例は見たことがありません。つまり、IPAから脆弱性を通知された人は、みんなちゃんと期間内に直してくれているわけです。
……なんてこと、あるわけないですね。
たとえば、私が2006年11月24日に届出を行った案件。このソフトウェアは2009年1月15日現在でも公開されていますが、最新版でも修正されていません。その脆弱性の情報はいまだに公開されていないのです。Webアプリケーションの場合は諦めて取扱終了というパターンがあるのですが、ソフトウェア製品で諦めたパターンは見たことがないですね。
もっとも、最初から対処不能な場合はまた別で……。
しかし、作者等が対応不能であることが明白である場合(これには、Winnyのように作者が訴追を受けている場合のみならず、作者が死亡している場合や逮捕勾留されている場合を含む)については、ガイドラインは想定していない。対策が施されないことが明白であり、かつ、この脆弱性の放置そのものによって被害が生じるわけではなく、むしろ公開によって情報流出の危険性が生じると考えられる以上、情報を公開することでかえってウィルス作成に積極的に貢献している(情報を公開しなければウィルス作成は為されなかった)と認められる状況もありうるというのが、わたしの指摘である。
「JVN#74294680 Winny におけるバッファオーバーフローの脆弱性 (jvn.jp)」を見れば明らかだと思いますが、実際の運用では、対応不能な場合には未修正のまま公表されています。この制度はあくまで脆弱性関連情報の流通と公開タイミングをコントロールするためのものですし、取扱終了になったら情報が公開される前提です。
ちなみに、いわゆる暴露ウイルスはWinnyの脆弱性を利用しているわけではありません。感染は単にファイルを開いて実行した事によって起こりますので、Winny経由で取得した場合に限らず、不用意にファイルを開けば感染します。原理的には、ウィルスがWinnyをインストールしたり、ウィルスが自らWinnyプロトコルで通信するということも起こり得ますから、Winnyを使っていない人が添付ファイルを開いて感染、感染すると自らWinnyプロトコルで通信して暴露……というようなウィルスの出現も考えられます。
ここからは余談になりますが、Winny暴露ウィルスの最大の脅威は「Winnyネットワークを利用して情報がばらまかれるため回収不能になる」という点に尽きると思います。この特性はWinnyネットワークが存在し続ける限りなくならないと思いますし、Winnyネットワークを消滅させることは難しいでしょう。「脆弱性を修正したWinnyが出れば解決するはずだ」という議論はけっこう良く聞くのですが、それだけでは暴露ウィルスの問題は解決しないように思うのです。
ちょうど高木さんが「いいかげん流通させている輩を罰せないか (takagi-hiromitsu.jp)」という日記を書かれていますが、こういう方向のアプローチしかないように思えるのですよね。
- 「情報セキュリティ早期警戒パートナーシップにおいて修正がなされない場合の運用」にコメントを書く
- 前(古い): 画像などのリソースを別ドメインに置く話
- 次(新しい): ジェネラル・ルージュの凱旋