セキュリティ
セキュリティコミュニティからの批判が数日間続く中、レドモンドが姿勢を軟化させ、脆弱性研究者を法的措置の対象とする意図はないと強調
マイクロソフトは、過去数週間にわたってWindowsのゼロデイ脆弱性をインターネット上に公開し続けた研究者に対して法的措置を示唆したとして、セキュリティコミュニティからの批判が高まる中、その事態の沈静化に乗り出しました。
月曜日に公開した声明の中でレドモンドは、「セキュリティ研究を実施または公開している個人に対して法的措置を取る意図はない」と表明しました。これは数日前に一連の脆弱性公開を非難し、デジタル犯罪対策部門(Digital Crimes Unit)に言及した際の強硬な立場と比べ、明らかに軟化したものです。
この声明の更新は、Nightmare-Eclipseとして知られる研究者との公開対立を受けたものです。同研究者は複数のWindowsゼロデイ脆弱性をPoCエクスプロイトコードとともに公開しており、そのうちいくつかはすでに実際の攻撃に悪用されています。その結果、単なる脆弱性開示をめぐる内輪の争いにとどまらず、ベンダーがセキュリティ研究者をどう扱うべきかという、より大きな議論へと発展しました。
先週、マイクロソフトは未修正の脆弱性に対するエクスプロイトコードの公開を「いかなる場合も正当化できない」と表明し、顧客に被害を与える犯罪行為に対しては法執行機関と連携すると警告しました。この声明はセキュリティコミュニティの一部から即座に批判を受け、研究者たちはこの言い回しが脆弱性研究に萎縮効果をもたらすリスクがあると警鐘を鳴らしました。
マイクロソフトの元社員でセキュリティ研究者のKevin Beaumont氏は同社の立場を「自業自得の大失態」と表現しました。一方、マイクロソフトのバグバウンティプログラムを創設したLuta SecurityのファウンダーであるKatie Moussouris氏は、The Registerに対し、今回の対応は矛盾したメッセージを発していると語りました。
Moussouris氏は、補償も評価も受けていないと主張する研究者への対応として、研究者への報酬や評価をアピールしたマイクロソフトの判断を疑問視しました。また、デジタル犯罪対策部門への言及がその投稿を「漠然と脅迫的」なものにしていると批判しました。さらに、この争いの具体的な経緯はともかく、マイクロソフトは脆弱性の報告を検討している他の研究者たちにも萎縮効果を与えかねないリスクがあると指摘しました。
さらに、マイクロソフトがNightmare-Eclipseを孤立させることを狙っていたとしても、その計画はうまくいっていないようです。同研究者は週末に、マイクロソフトの対応を受けて他の研究者たちも脆弱性を提供し始めていると主張しました。その中には、セキュアブートの信頼保証を破りBitLockerをバイパスするとされる「Bitskrieg」と名付けられた脆弱性も含まれています。Nightmare-Eclipseは「6月中に」この脆弱性を公開すると述べています。
こうした背景の下、マイクロソフトが月曜日に発表したメッセージは、抑止力というよりも火消しに映りました。
「セキュリティ研究を実施または公開している個人に対して法的措置を取る意図はない」とマイクロソフトは述べ、法的対応はあくまで顧客に害を与える悪意ある行為を行う者に限定されるとしました。また、「一部のやり取りが不十分だった」と認め、フィードバックから学ぼうとしていると述べました。
注目すべきは、マイクロソフトがNightmare-Eclipseの具体的な主張については一切認めなかった点です。同研究者は、脆弱性報告に使用していたアカウントを削除されたこと、バウンティの支払いを拒否されたこと、そしてMicrosoft Security Response Center(MSRC)を通じたやり取りが不適切だったことをマイクロソフトに訴えていました。しかし、同社はこれらの主張に公式に直接応答していません。
月曜日の声明を、完全開示の信奉者への突然の転向と受け取るべきではありません。マイクロソフトは依然として、研究者は脆弱性を非公開で報告し、ベンダーに修正の時間を与え、機能するエクスプロイトコードをインターネット上に公開することは避けるべきだという立場を堅持しています。
レドモンドにとっての問題は、議論がすでに一人の研究者の行為をはるかに超えた領域へと拡大していたことです。一連のWindowsゼロデイ公開をめぐる争いとして始まったものが、マイクロソフトとセキュリティコミュニティの関係、そしてその関係が悪化したときに同社が弁護士を持ち出すことをいとわないのかという議論へと急速に発展していました。
今回の声明更新は、こうした流れに急ブレーキをかけようとする試みとして映ります。 ®
