コンピュータ工学の教授は、重大な脆弱性が公開された場合の対処法について興味深いアイデアを持っています。それは、公開しないことです。
米国ロードアイランド大学の工学教授ガス・ウート教授は、重大な脆弱性を発見した者がその詳細を公表せず、ベンダーや開発者が秘密裏に欠陥を修正し、誰かが被害者をハッキングするのに適したエクスプロイトを作成する前にアップデートを公開できるようにすれば、誰もがより安全になると主張している。
発見されたセキュリティ上の欠陥は非公開で報告され、実際に誰かが悪用するまでは秘密に保たれます。そして、悪用された時点で、必要なパッチがインストールされていることを確認するよう警告されます。ウート教授は、ソフトウェアやハードウェアの脆弱性の詳細を早期に公開すると、攻撃者にエクスプロイトコードを作成し、攻撃を開始する機会を与えてしまうのではないかと懸念しています。公表によってパッチ適用と保護の必要性が注目されるのは当然ですが、私たちに何が分かっているのでしょうか?
「今日では、脆弱性を完全に開示することが一般的であり、多くの場合、責任ある開示の原則に従っています」と、ウート教授は1月末のACM Sigarch誌の論説で述べています。「これは、事実上、脆弱性を公表することになり、ブラックハットハッカーがシステムに侵入する最良の方法を助長することになるため、最善の策ではないというのが私たちの見解です。」
数十億個のトランジスタと数百万行のコードから生じる現在のハードウェアおよびソフトウェアシステムの複雑さを考えると、バグや脆弱性のないシステムはあり得ません。事実上、未知の脆弱性は無限に存在します。…では、新たな脆弱性を積極的に「発見」し、公開することに一体何の意味があるのでしょうか?脆弱性は事実上、作り出されており、システムの安全性を高めることなく、ブラックハットによる大混乱を引き起こす力を与えています。これはまさに底辺への競争です。同時に、人々の不安を不必要に高める可能性もあります。
Spectre にまだ飽きていない方のために… Boffins が、CPU のデータ漏洩ホールを検知する Speculator ツールをデモします
続きを読む
Uht 氏は、昨年公開された Spectre および Meltdown CPU サイドチャネル脆弱性を例に挙げ、半導体業界が設計を調整し、新しいチップやソフトウェアによる緩和策をリリースする一方で、欠陥を隠しておけばすべての人にとってより良い結果が得られたはずだと指摘する。
参考までに言うと、 2018年初頭、 The Registerは最新CPUに投機的実行バグが存在することを初めて具体的に報じました。Googleをはじめとする企業は数日以内に欠陥の詳細を公表し、影響を受けるプロセッサを保護するためのパッチとコードアップデートが数ヶ月にわたって続きました。Intel、AMD、Arm、Microsoft、Red Hatなどの企業は、数ヶ月前からこの問題を非公開で認識しており、秋からクリスマスにかけてソフトウェアおよびマイクロコードレベルの緩和策に取り組み、Windowsの1月のパッチ火曜日に間に合うようにリリースすることを目指していました。
しかし、教授は、サイドチャネル脆弱性は非常に目立たず、実際に悪用するのが困難だったため、実際に機能するエクスプロイトを開発して実際に展開することは不可能だったと示唆しています。つまり、修正がシリコン、オペレーティングシステムカーネル、ハイパーバイザー、ソフトウェアツールチェーンに実装されるまで誰も黙っていたとしたら、誰もその脆弱性に気付かず、エクスプロイトが開発されることはなかったでしょう。
投機的実行の脆弱性を悪用するマルウェアは、現時点では確認されていません。これは、悪用が難しく、パッチ適用に多大な注意が払われているためかもしれません。例えば、情報の窃取などに悪用しやすい脆弱性は、他にも数多く存在します。
El Reg社は、2017年の最後の数か月間にオープンソースのLinuxカーネルに難読化された変更が加えられたことに気づき、MeltdownとSpectreの存在を察知しました。これらの変更は、今日のプロセッサが提供するセキュリティ保護の一部が不可解な形で利用できなくなったことを示しており、CPUに欠陥があることを示唆していました。この情報と、以前に公開された調査結果、そして業界筋からの確認情報を組み合わせることで、脆弱性の詳細を開示することなく、今後のパッチについて報告するに至りました。
LibreOfficeは悪質なコード実行バグを修正、Apache OpenOfficeは…待って、待って…まだ修正されていない
続きを読む
「ハードウェアのマイクロアーキテクトは、セキュリティが最優先の設計パラメータである必要があることを認識していますが、ブラックハッターは新たな脆弱性の次元を追求するようになりました。彼らが何を思いつくかは誰にも分かりません」とUht氏は続けた。「この暴露によって世界は揺さぶられました。あれは本当に必要だったのでしょうか?そして、役に立ったのでしょうか?」
したがって、Uht は、バグを公開することによる短期的なリスクが、製品を静かに強化することによる長期的な利益を上回ると示唆しています。
Regの定期読者や長年の読者は、責任ある情報開示、完全な情報開示、そして情報開示のなさをめぐる長年の激しい議論をご存知でしょうから、ここで改めて述べる意味はあまりありません。ただ、パッチが利用可能であること、そしてなぜパッチを適用する必要があるのか、そして一部の企業は世論の圧力がない限りパッチを適用せず、何も認めないだろうということを人々に警告する必要がある、と私たちは考えています。
「コメントありがとうございます。風刺ではありません」と、コラムの読者から批判を受けた教授は付け加えた。「私は真剣に考えています。脆弱性について誰かが知っていると仮定しましょう。修正が考案され配布される前にそれを公表すれば、より多くの人々がその脆弱性を知り、悪意を持って利用できるようになるので、問題は解決せず、むしろ悪化させるだけです。」
ウート教授は本日コメントを発表しなかった。®
