マイクロソフト、パッチ適用前にWindows 8.1のセキュリティホールを公表したとしてグーグルを非難
トッド・ビショップ著
マイクロソフトは、レドモンドの会社がバグを修正する予定の2日前にWindows 8.1のセキュリティ脆弱性に関する詳細をGoogleが公開したとして公に批判し、修正プログラムがリリースされるまで待つようにというマイクロソフトの要求をGoogleが拒否することでユーザーを危険にさらしていると述べている。
Googleは今回の脆弱性の開示を、セキュリティイニシアチブ「Project Zero」の一環として行った。このイニシアチブでは、企業に対し、脆弱性が公開される前に90日以内に修正するよう求める期限を設けており、ハッカーに脆弱性を悪用するための重要な情報を提供してしまう。今回のケースでは、Windows 8.1のログオンメカニズムに存在する脆弱性を悪用することで、攻撃者はユーザーのコンピュータ上で権限を昇格させ、事実上マシンを乗っ取ることが可能になる。
「Googleが発表した情報開示のタイムラインは順守しているものの、今回の決定は原則というよりはむしろ『落とし穴』のように感じられる。結果として被害を受けるのは顧客だ」と、マイクロソフト セキュリティ レスポンス センターのシニア ディレクター、クリス ベッツ氏は本日、マイクロソフトの立場を概説した投稿で述べている。「Googleにとって正しいことが、必ずしも顧客にとっても正しいとは限らない。Googleには、顧客保護を共通の最優先事項とするよう強く求める」
続報:マイクロソフトを批判した後、GoogleはAndroidの脆弱性を修正せずに放置
マイクロソフトとグーグルの争いは、セキュリティホールの報告と修正に関するベストプラクティスをめぐるセキュリティ業界の論争を浮き彫りにしており、ユーザー保護の必要性と、パッチの迅速な提供をソフトウェアベンダーに圧力をかけることによるプラス効果とのバランスをとっている。
これは両社間の長きにわたる一連の争いの最新のものであり、Google が Project Zero を通じてパッチ未適用の Windows 8.1 のバグを公開したのはここ数週間で 2 度目となる。
Project Zeroの研究者ベン・ホークス氏は、12月31日のWindows 8.1の以前の情報開示に関する投稿で、情報開示ポリシーが変更される可能性を残しつつも、全体的なアプローチを擁護した。
「総合的に判断すると、Project Zeroは、開示期限を設けることが現時点ではユーザーセキュリティにとって最適なアプローチだと考えています。ソフトウェアベンダーには脆弱性管理プロセスを実施するための公正かつ合理的な時間を与えると同時に、ユーザーが直面するリスクを知り理解する権利も尊重されます」と、Googleのセキュリティ研究者は記している。「ベンダーがセキュリティ問題の詳細を無期限に開示しないという選択肢を排除することで、ユーザーには脆弱性にタイムリーに対応する機会を与え、顧客として迅速なベンダー対応を求める力を与えることができます。」
本日の Microsoft の投稿で、ベッツ氏は、この最新の修正が 90 日間よりも長くかかった理由について示唆しています。
「セキュリティ脆弱性への対応は、複雑で広範囲にわたり、時間のかかるプロセスになりかねません」と彼は述べています。「ソフトウェアベンダーとして、私たちは長年の経験を有しています。対応時期に関する議論の複雑さの一部は、セキュリティ専門家として私たちが考慮しなければならない環境の多様性に起因しています。顧客環境への現実的な影響、問題が存在するサポート対象プラットフォームの数、そして修正の複雑さなどです。脆弱性はすべて同じではなく、明確に定義された基準で評価されるわけでもありません。また、オンラインサービスの更新は、ソフトウェア製品、何万ものユーザーがアプリケーションを構築してきた10年前のソフトウェアプラットフォーム、あるいはハードウェアデバイスの修正とは異なる複雑さと依存関係を持つ可能性があります。思慮深いコラボレーションでは、これらの特性を考慮に入れます。」
マイクロソフトの声明についてGoogleに問い合わせたところ、現時点では同社からコメントはない。
