勝手に暴露されちゃった「Zero-day」(?)

対応時間ゼロ 勝手に暴露されちゃった「zero-day」」という記事がでています。

「勝手に」というと、協調された開示の仕組みを完全に無視して、公表してしまったのか、というようにみえますが、「Androidのゼロデイの脆弱性は、事前にGoogleには知らせていたものの、ZDIが独自に定めた期限までに対策パッチが公開されなかったので、情報公開に踏み切ったという。」とのことなので、Googleにたいして、通知はしていたようです。

アドバイザリのページをみていくと、数回、修正の要求を出したにも関わらず、具体的な修正の日時を特定し得ないという返事がきたので公開したという経緯に見えます。

協調された開示の仕組みという表現をしましたが、責任ある開示ともいわれています。記事としては、「脆弱性の「責任ある開示」を他業界でも、マカフィー担当者に聞く」という記事があります。後述の法律面の報告書(改訂版)では、1頁でふれています

わが国では、「情報セキュリティ早期警戒パートナーシップ」が、2004年に整備され、独立行政法人 情報処理推進機構、一般社団法人 JPCERT コーディネーションセンターなどによって運営されています 。

このパートナーシップの運営にあたって生じる問題点等は、「情報システム等の脆弱性情報の取扱いに関する研究会」のもとで、検討され、その検討の結果が、パートナーシップのガイドラインに反映されています。

現在は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」に基づいて、ガイドラインによって協調された開示の実務が動いているという感じでしょうか。(経緯については、法律面の報告書(改訂版)2-4頁でふれています)

なお、私自身も、この早期警戒パートナーシップの元となっている考え方、また、実際にいろいろと生じるであろう問題点などについて法的な立場から、解説を試み、それが公表されています(情報システム等の脆弱性情報の取り扱いにおける法律面の調査 報告書改訂版

タイトルの記事の話に戻ります。早期警戒パートナーシップにおいては、具体的な対応のための期限は決めていません。発見者は、1年を経過した場合に、情報非開示以来の取り下げを求めることができるという仕組みになっています。

それに対して、一定の期限を区切って、それでも、セキュリティパッチがでなければ、それを公開するという方針も採用されています。

ProjectZeroは、90日がデッドラインですね。Hacker one だと30日がデフォルトです

平均日数については、記事がでているところでもあります

発見者としては、開発者と良好なコミュニケーションのもと、できる限り、早急に対応してもらいたいところですが、いろいろな利害関係もあり、非常に悩ましいところでもあります。

なので、合理的な期間を設定して、これに間に合わなかった場合、そして、それで公開した場合について、「勝手に」と評価されるのか、というと、ちょっと、違和感を感じたというところが、本当のところでしょうか。

It's only fair to share...Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook