マイクロソフトはここ数週間で古い傷を再び開かせ、脆弱性開示をめぐる議論と、セキュリティ研究者とベンダーの間に生まれることのある敵対的な関係について、改めて活発な論争を引き起こしています。
今回の騒動は、マイクロソフトがあるセキュリティ研究者に対して刑事法的措置を示唆したことに端を発します。その研究者は、概念実証(PoC)エクスプロイトを添えた複数のゼロデイ脆弱性を公開していました。マイクロソフトは公開前に脆弱性に関する情報を一切受け取っていなかったと主張し、今回の開示は責任ある方法で行われておらず、同社の顧客を不必要なリスクにさらしたと述べています。
「Nightmare Eclipse」と名乗るこの研究者(身元・連絡先は不明)とマイクロソフトの公開対立は、セキュリティの専門家の間に動揺を広げています。マイクロソフトの強硬な対応とその後の反発は、ベンダーと、彼らが販売するソフトウェアの欠陥を発見・報告する研究者との間にある摩擦点を、改めて浮き彫りにしました。
「この争いは協調的開示の問題として論じられていますが、その根底にある不満は、本来の開示のあり方とは切り離されるべき、個人的で特定の事情に根ざしたものです。これほど長年この分野に取り組んできたベンダーであれば、なおさらそうあるべきです」と、Luta SecurityのファウンダーCEOであるケイティ・ムスーリス氏はCyberScoopに語りました。
「マイクロソフトは感情的になっており、公の場で何も発言すべきではありませんでした。それにもかかわらず、研究者を名指しで批判し、同時に法執行機関の関与にも触れるという行動を正当だと感じてしまったようです。これでは、脆弱性開示における悲嘆の最初の段階、つまり『否認と怒り』に逆戻りしてしまっています」と彼女は述べました。
マイクロソフトに長年在籍し、セキュリティコミュニティとの関係構築を主導して同社初のバグバウンティプログラムを立ち上げ、2013年まで遡るカンファレンス講演も行ってきた同氏は、今回の一連の経緯においてマイクロソフトは自らの責任を認めることを拒み続けていると指摘しました。
マイクロソフトは、今回の騒動に関する質問への回答を断りました。
Nightmare Eclipseは、マイクロソフトが脆弱性についての声明を発表する前から、ベンダーとの関係が崩壊しつつあること、そして間もなく争いに発展することを複数のブログ記事で示唆していました。問題の脆弱性は、RedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma、MiniPlasmaと名付けられています。
Nightmare Eclipseが公開した6件の脆弱性のうち3件は、マイクロソフトがパッチを提供する前に攻撃者に悪用されました。
この研究者は、マイクロソフトが連絡を拒否し、一部の脆弱性の発見・報告に対して報奨金も実績の認定も行わなかったと主張しています。さらに、脆弱性の開示に使用していたMicrosoft Security Response Center(MSRC)のアカウントを削除され、GitHubアカウントも削除申請されたと述べています。
「あなたたちは誰の目にも明らかなほど、この対立を積極的にエスカレートさせています」と彼らは書き記し、マイクロソフトに対して7月中旬に「あなたたちの骨を粉砕するような」情報公開を行うと脅しました。
脆弱性開示は双方向のプロセス
適切な脆弱性開示プロセスがどうあるべきかは複雑な問題であり、見る立場によって評価が異なることも少なくありません。
バグハンターとベンダーの間の良好な関係を成立させるには、双方が歩み寄ることが不可欠だと、GreyNoiseのファウンダー兼チーフアーキテクトのアンドリュー・モリス氏は述べています。
ベンダーがソフトウェアの欠陥を修正してセキュリティを優先させる責任を負う一方で、無責任な脆弱性開示はインシデント対応者と潜在的な被害者の双方に損害をもたらすとモリス氏は指摘します。
「個人的には、この研究者の行動は非常に小規模な意趣返しだと感じます。個人的な恨みを晴らそうとしているように見えます」と彼は述べました。
「善意から何かを提供しておいて、対価を払ってもらえないと怒るのは、筋が通りません。」
一方でモリス氏は、ベンダー側も研究者との信頼関係を築く責任があると明言しています。
「自社ソフトウェアのバグについて、被害が発生してから、あるいは誰かが侵害されてから知るのではなく、いち早く把握したいと本当に思うなら、セキュリティコミュニティとの信頼関係を培うべきです」とモリス氏は語りました。
マイクロソフトは、セキュリティ研究者とベンダーの関係が重要であり、時として壊れやすいものであることを認識していると述べています。
「セキュリティコミュニティを深く尊重しており、引き続きフィードバックを真摯に受け止めます」と同社はX上の投稿で述べています。
しかし同社は、Nightmare Eclipseによる今回の開示の状況について、違法・正当性なし・無責任との立場を変えていません。
「個人が法律を破り、実際に顧客に損害を与える悪意ある行為に及んだ場合、必要に応じて法執行機関と連携します」とマイクロソフトは研究者の名前を出さずに述べています。「協調的脆弱性開示が顧客保護と製品改善の基盤であるという信念は変わりません。この活動の性質上、誤解が生じることもあると認識しています。私たちはすべての研究者に対して、過去のやり取りの如何を問わず、誠実に対応し、敬意を持ったプロフェッショナルな関係を維持する姿勢をこれからも貫きます。」
反発がもたらすコスト
セキュリティ研究者が脆弱性を探し出す動機はさまざまです。バウンティの報酬、認知、業界での信頼、あるいは単純に脆弱性を発見して修正につなげるという「狩りの醍醐味」といった理由が挙げられます。
理想的な形では、このプロセスは水面下で完結します。パッチが公開され、悪用が起こる前に顧客へ警告が届くというものです。
こうした協調的なアプローチは定着しつつあり、大きく改善されてきましたが、研究者が軽視されたと感じるケースはいまだになくなっていません。
「なぜ以前は協調していた研究者が、ついに限界を迎えてゼロデイ脆弱性を公開するに至ったのか、その舞台裏で何が起きていたかを一般の人々は知る由もありません」とムスーリス氏は述べています。そのため同氏はNightmare Eclipseの行動を批判する気にはなれないとしつつ、「助けを必要としている人物のように見受けられます」と付け加えました。
しかし、脆弱性研究者とベンダーの間の信頼は頻繁に崩壊しています。今週初めには、セキュリティ研究者のアンマル・アスカル氏が、マイクロソフトのセキュリティチームとの最後のやり取りがあまりに不誠実だったとして、今後VS Codeで発見したバグはすべて公開するとの意向を示しました。そして実際に、攻撃者がGitHubトークンを盗めるようにする脆弱性とエクスプロイトコードを公開することで、その宣言を実行に移しています。
こうした行動は信頼を損ない、ベンダーと脆弱性研究者の間に亀裂を生じさせますが、それに対する手段は極めて限られています。ムスーリス氏によれば、法的・倫理的な境界線は当事者間でおおむね明確に認識されているといいます。研究者はバグを報告し、保留し、販売し、あるいは公開する選択肢を持っています。「唯一の一線は犯罪です。つまり、欠陥を使って人々を脅迫したり攻撃したりすることです」とムスーリス氏は述べています。
「期日を指定して公開を予告することは、開示の予告であり、開示は合法です。その言い方が不快に感じられることはあっても、Nightmare Eclipseはいかなるルールも違反しておらず、いかなる義務も果たしていないわけではありません。」
最悪のタイミング
今回の経緯はどちらの側にも一定の責任がありますが、マイクロソフトが事態をさらに悪化させたとモリス氏は指摘します。法的措置を示唆し、攻撃的な姿勢を取っても、これまで一度も効果を上げたことはありません。研究者とベンダーの良好な関係を築くには、オープンなコミュニケーションと信頼が不可欠です。
「私たちはこうした問題をすでに乗り越えたと思っていました。しかし、そうではなかったのです」と彼は述べました。
Nightmare Eclipse事件は、この分野が緊迫した局面を迎えている時期に起きました。ベンダーとその顧客は増え続ける脆弱性の洪水に直面しており、脆弱性を自動的に発見する人工知能モデルの台頭がこの課題をさらに深刻化させています。今後の状況を憂慮するセキュリティ専門家は多く、事態の行方は予断を許しません。
次にどこで脆弱性が発見・悪用されるのか、そしてその影響がどれほどのものになるのか、現時点では誰にもわかりません。
こうした状況は、CVEベースの従来型システムと責任ある開示プロセスがすでに機能不全に陥っている可能性を示唆していると、モリス氏は述べています。「CVEの数があまりにも多すぎます。もはや機能しているのかどうかさえ疑わしい状況です。」
現状では、その欠点はあるにせよ、協調的脆弱性開示プログラムがこの問題に対して最も合理的かつスケーラブルなアプローチとして広く認識されています。
「協調的開示は、ベンダーが幸運に恵まれたときに実現するものです。雇用もしていない人物が、脆弱性を悪用したり売却したりする代わりに、本物のバグを手渡してくれるのです。協調関係を維持する責任の全てはベンダー側にあります」とムスーリス氏は述べています。「CVEも付けずに黙って修正し、自社の開示スケジュールに従わない研究者を公に批判することは、ベンダーが手にしたその幸運を無駄にすることにほかなりません。」
彼女はさらに問題の重大さを強調しました。「マイクロソフトをはじめすべてのベンダーが、協調的脆弱性開示とはセキュリティ研究者コミュニティからの贈り物であり恩恵であることを学んでほしいと思います。そして、公開開示はいかなる場合でも、非開示や犯罪よりもまだましな選択肢です。」
この関係がさらに悪化すれば、すべてのベンダーと顧客が攻撃への露出を高めるという、甚大な被害をもたらす可能性があります。
「ベンダーが、セキュリティコミュニティから脆弱性レポートという形で無償の知的財産と労力を感謝とともに受け取る習慣を失ってしまえば、誰もベンダーに事前連絡しなくなる世界か、あるいはいかなる猶予も与えない期限付き開示モデルへの移行が現実のものとなってしまいます」とムスーリス氏は述べています。
最後に彼女はこう訴えました。「製品ベンダーは脆弱性のあるコードを書いた当事者であり、そのリスクを負っています。ユーザーのために、そのリスクを軽減するために全力を尽くす義務があります。」それにはまた、「不満を胸に秘め、協調的脆弱性開示の失敗から内省を通して学ぶこと」も含まれると、彼女は結びました。
翻訳元: https://cyberscoop.com/microsoft-coordinated-vulnerability-disclosure-debacle/
