シマンテック、セキュリティバグ監査の陰謀をめぐる激しい法廷闘争に参戦

Table of Contents

シマンテック、セキュリティバグ監査の陰謀をめぐる激しい法廷闘争に参戦

シマンテックは、独立したセキュリティ監査を回避するために他社と共謀したとして同社を非難した企業は「誠実さに欠ける」ものであり、「利益への渇望」によって動かされていると述べている。

「これは、根本的には、一企業の利益追求のあまり、不透明で不正確、そして誠実とは言えないビジネスモデルを支えるために、コンピュータセキュリティのより正確なテストを求める顧客のニーズを無視してしまった事例だ」とシマンテックは今週、カリフォルニア州の裁判所に提出した文書で主張した[PDF]。

同団体は、独立系ソフトウェアテスト会社NSS Labsが米国でシマンテックに対して起こした訴訟は、その主張が「全く根拠がない」ため、全面的に却下されるべきだと主張している。

これらの主張には、シマンテック、クラウドストライク、ESET、マルウェア対策テスト標準化機構(AMTSO)など複数のセキュリティベンダーが、自社のコード内のバグを認識しながら対応を怠っただけでなく、「製品の欠陥を発見する独立したテストを積極的に阻止しようと共謀していた」という内容も含まれている。

NSS Labsは、セキュリティソフトウェア分野における悪質な慣行を明らかにする取り組みの一環として、9月に4つの組織を提訴した。

当時、4社はいずれも疑惑を否定していましたが、これらの組織が訴訟に対して正式に反論したのは今回が初めてです。各社はそれぞれ独自の反論を提出しており、いずれも訴訟の即時却下を求めていますが、シマンテックの反論はNSS Labsを激しく攻撃している点が際立っています。

NSS Labs は、2 種類の形式のテストを実行していると指摘している。1 つはベンダーと秘密裏に協力してその製品の欠陥を特定し修正するプライベート テスト、もう 1 つは企業に通知せずにその製品をテストし、結果を公表するパブリック テストである。

シマンテックは前者からのみ収益を得ており、「NSSの公開テストで良い成績を収めるには、まずNSSに非公開テストの費用を支払うことが重要だ。それが同社のビジネスモデルだ」と指摘している。

しかし、まだ欠陥はありますよね?

このモデルが理想からは程遠いことは明らかですが、NSS Labsは、企業や個人が自衛のために購入したソフトウェアに重大なセキュリティ上の欠陥が発見されるのが現実だと主張しています。そのため、NSS Labsが欠陥を隠蔽するために協力しないという理由で企業がNSS Labsを全面的にボイコットしようとする動きは、消費者にとって不利だとNSS Labsは主張しています。

少々心配なことに、NSS Labs の訴訟に対する回答はどれもこの問題に正面から取り組んでおらず、代わりに、たとえ共謀していたとしても法律には違反していないため、同社には訴訟の根拠がないと主張している。

「結局のところ、被告らは、自社の顧客にとって何が最善かという自社の理解と相容れない事業手法を持つ企業とは協力しないという裁量権を行使しただけだとされている」とシマンテックは主張した。

他の被告らは、NSS Labs が共謀したという証拠を何も持っていないと主張している。

ここでは戦えません、ここは作戦室です!

NSS Labsはウイルス対策ツールメーカーを提訴、パフォーマンステストを回避するために密かに共謀していると主張

続きを読む

CrowdStrikeは回答[PDF]の中で、NSSはボイコット疑惑に関して「(1)誰が共謀したのか、(2)何を共謀したのか、(3)いつどこで共謀が行われたのか、(4)共謀者たちが共謀した理由、つまり共謀の目的は何だったのか、(5)どのように共謀を実行しようとしていたのか」というもっともらしい事実を一切提示していないと主張している。

また同社は、NSS Labsとの複雑な法的経緯を理由に共謀する必要はなかったと主張している。同社は、テスターが「CrowdStrikeの専有かつ機密のソフトウェアプラットフォームに不正にアクセス」したという過去の議論で、すでにNSS Labsとの協力を拒否していた。

CrowdStrikeはNSSに対し、自社のプライベートテストの一つに対して料金を支払っていましたが、NSSがその後自社製品のテスト結果を公開すると発表したことに激怒しました。CrowdStrikeは、NSSが「NSSが自ら定めたテスト手法を遵守しておらず、そのテストには重大な品質管理上の欠陥が見られた」と主張し、結果の公開差し止めを求める仮差し止め請求を申し立てました。この請求は却下されましたが、法廷闘争は続いています。

Crowdstrikeは、NSS Labsは「陰謀をほのめかすだけで、特にCrowdStrikeに関しては、陰謀を裏付ける事実を何も提示していない」と主張している。

また、NSSは単に金銭目的であると主張している。「NSSの苦情の核心は、NSSのビジネスモデルにとってより有利な標準、例えばテスターがベンダーと透明性のある方法で協力することを要求しない標準を望んでいるという点です。しかしながら、透明性を求めるベンダーとのこの矛盾が、標準を反競争的なものにするわけではありません。」

「NSSの主張がたとえ正しかったとしても、主張を表明するにはもっと多くのことを行う必要があるだろう」と指摘している。

信頼を標準として

そして、企業が使用している標準規格で、非公開でコミュニケーションを取り、問題が公表される前に修正することを許可しているマルウェア対策テスト標準化機構(AMTSO)については、法律で定められているため独占禁止法違反で訴えられることはないと主張している[PDF]。

2004年標準化団体促進法(SDOAA)では、「標準化団体が標準化活動に従事している間の行為は、それ自体違法とはみなされない」と規定されています。AMTSOは標準化団体です。したがって、AMTSOによる標準策定における行為は、それ自体違法とはみなされません。

それは真実かもしれないが、決して安心できるものではない。

公開/非公開のテスト手法全体に関して、AMTSO は次のように説明しています。「証人尋問を例に挙げると分かりやすいでしょう。連邦裁判所は、裁判での証言に先立ち、広範な証人開示を義務付けており、多くの専門家は、こうした開示が真実追求という反対尋問の目的を促進すると考えています。」

一部の州裁判所は証人開示を一切認めておらず、また一部の実務家は待ち伏せ裁判が最も効果的だと強く主張する。どちらの陣営にも正当な主張がある。しかし、裁判の一方の当事者には証人開示を義務付け、もう一方の当事者には義務付けないという正当な主張は存在しない。言い換えれば、情報提供は裁判(あるいは比較試験)の公正性を損なうものではない。しかし、訴訟当事者(あるいは試験対象者)間の情報格差が開示されない場合、公正性を損なうことになる。

言い換えれば、NSS Labs が結果を公開する前にベンダーに製品で発見したセキュリティホールについて事前に通知しないという事実を誰も好ましく思っていないのです。

それで、もう使わないことにしたのかもしれませんね。裁判長、違法な点は何もありません。®

Discover More