Googleは今週、発見した新たなソフトウェアの脆弱性について防御側に早期に詳細を提供するため、脆弱性の公開方法を変更しました。これにより、ベンダーがパッチをリリースしてから顧客がセキュリティアップデートを適用するまでの初期の期間が短縮されます。
Project Zeroは、ゼロデイ脆弱性の発見と研究を行うGoogleのセキュリティ研究チームです。今後は、脆弱性をベンダーに報告してから1週間以内に、その脆弱性を発見したことを公表します。Googleによれば、これらの報告には、影響を受ける製品、ソフトウェアまたはハードウェアの責任を持つベンダーまたはオープンソースプロジェクトの名称、報告日、そして90日間の公開期限が含まれます。
Googleの新しい試験的ポリシーは、発見から公開、パッチリリースから適用までに至る脆弱性管理の長年の課題に対応するものです。Project Zeroの責任者であるTim Willis氏は、この遅延を「アップストリームパッチギャップ」と呼び、ブログ記事で変更を発表しました。
「これは、アップストリームのベンダーが修正を用意しているにもかかわらず、最終的にユーザーに修正を提供する責任を持つダウンストリームの依存先が、それを最終製品にまだ組み込んでいない期間です」とWillis氏は述べています。「このアップストリームギャップが、脆弱性のライフサイクルを大幅に延長していることを私たちは観察しています。」
Googleは、このポリシー変更が攻撃者の助けになることはないと主張していますが、未修正の脆弱性に対する公的な圧力や注目が高まる可能性はあるとしています。Googleは、これによりアップストリームベンダーとダウンストリームの顧客や依存先とのコミュニケーションが強化され、より迅速なパッチ開発とパッチ適用の増加につながることを期待しているとWillis氏は述べています。
「このデータにより、研究者や一般の人々が、修正が最初に報告されてからユーザーのデバイスに届くまでにどれくらい時間がかかるかを追跡しやすくなります」と彼はブログ記事で述べています。
Project Zeroは引き続き、ベンダーに対して脆弱性の修正に90日間、その後顧客がパッチを適用するための30日間を与える90+30日公開期限ポリシーを順守します。ベンダーが90日以内に脆弱性に対処した場合、顧客のパッチ適用に30日間の期限が始まります。ベンダーが90日以内にパッチをリリースしない場合、Project Zeroは脆弱性の詳細を公開します。
発見された脆弱性の早期報告には、技術的な詳細や概念実証コード、またはGoogleが攻撃者の脆弱性発見を助けると考える情報は、期限まで含まれません。Willis氏はこのポリシーを「攻撃者のための設計図ではなく、警告である」と表現しています。
ゼロデイ脆弱性は防御側にとって手強い問題であり、企業システムや重要インフラに継続的なリスクをもたらしています。Googleの脅威インテリジェンスグループは、昨年実際に悪用されたゼロデイ脆弱性を75件追跡し、ゼロデイの悪用がより多く、より多様な技術を標的にしていることを指摘しました。
2024年に最も悪用された脆弱性のうち3件(いずれもエッジデバイスに含まれていた)は、最初はゼロデイとして悪用されたものだったと、Mandiantは4月に発表した年次M-Trendsレポートで述べています。
Project Zeroの研究者たちは、今回の変更が新たに発見された脆弱性の公開タイミングにどのような影響を与えるかを監視していきます。「私たちは最終的な目標が達成されることを願っています」とWillis氏は述べ、「脆弱性が単にアップストリームのコードリポジトリで修正されるだけでなく、人々が日常的に使用するデバイス、システム、サービス上でも修正される、より安全なエコシステムの実現」を目指すと語りました。
翻訳元: https://cyberscoop.com/project-zero-google-zero-day-vulnerability-disclosure/