2017/03/08

責任ある情報公開の実践

PC クライアント ハッカー 侵入 漏洩 データ 流出 サイバー攻撃 hacker
2017 年 3 月 8 日 編集部記事

ウォッチガードは、デバイスやソフトウェアの脆弱性をその製造元に報告する、責任ある情報公開プロセスを積極的に支持しています。それは、このプロセスが、関係者全員の利益になる方法だと考えているためです。ウォッチガードの脅威アナリストである Marc Laliberte は最近、責任あるこのプロセスの有効性を、実例を挙げて証明しました。IoT のセキュリティに関する進行中のプロジェクトで、広く利用されているIoT カメラの脆弱性を発見した彼は、すぐにそれを製造元に通知しました。

Mark はその後、Dark Readking のコラムで、その責任ある情報公開の経緯と、この脆弱性が最終的に IoT カメラの製造元によって修正されたかを説明しました。また、公開にあたって考慮すべき点をいくつか紹介し、脆弱性が特定されたことでそれが悪用される危険性についても説明しています。この記事の内容を要約すると、次のようになります。

2016 年 11 月 4 日、(発見した脆弱性の)報告書を Amcrest に提出しました。報告された脆弱性に対応するためのプロセスを多くの大手ベンダが公開しており、公開されていない場合、一般的には、ベンダの公開 PGP 鍵で暗号化した電子メールで報告書を提出します。今回は、Amcrest のサポートチームに脆弱性の報告方法を問い合わせました。最終的には、サポートケースを使って脆弱性の報告書を提出しました。

報告にあたっては、発見した脆弱性の一般公開までにどの程度の猶予期間を認めるかも、重要な問題です。研究者はベンダに対し、脆弱性を調査して修正するための一定の猶予期間を認めるべきですが、その日数についての業界標準はありません。私自身は、一般的である 60 日が妥当だと考えます。

責任ある情報公開プロセスの各ステップの詳細は、Dark Reading の記事全文(英文)をご覧ください。