2017/05/05

政府がゼロデイを非公開にすべきではない理由

鍵 キー アンロック 侵入 漏洩 データ 流出 サイバー攻撃
2017 年 5 月 5 日 編集部記事

サイバー冷戦が進行する中、世界中のさまざまな国が、我々が広く利用しているプログラムや製品のゼロデイエクスプロイトを未公開のまま温存しています。その目的は何でしょうか。「攻撃は最大の防御」として、他国より強力なサイバー攻撃の「操縦かん」を握っておきたいと考える国もあります。あるいは、単なる保険としてこのような戦術を取っていると思える国もあります。いずれの動機であったとしても、ゼロデイを意図的に隠匿している政府は、社会の安全性低下に加担していると言えます。

SC Magazine の最近の記事で、ウォッチガードの CTO である Corey Nachreiner を始めとするセキュリティ専門家が、こういった慣行が企業や一般市民に悪影響を与えるとして、脆弱性を国際的なサイバー攻撃の武器として非公開にすることの意味を検証しています。

Corey はこの件について、次のように述べています。「あらゆる脆弱性を積極的に修正し、自国と自国の市民にとっての技術的な問題を最小限に抑える方が、はるかに理にかなっていると思います。ソフトウェアの脆弱性は、誰かが踏むのを待っている地雷のようなものです。人通りの多い場所に埋まっているのを見つけ、敵が踏むのを期待して放置すれば、自分の味方も危険にさらすことになります。特に、最も親しい国同士であってもエクスプロイトを共有しない傾向があることから、そのリスクは重大です。」

SC Magazine の記事全文(英文)をお読みいただき、ここをクリックして、政府がゼロデイを公開しないことによる影響に関する Corey の説明をご確認ください。