BT

Windowsの脆弱性を修正プログラム公開前にGoogleが開示

| 作者: Sergio De Simone フォローする 12 人のフォロワー , 翻訳者 西村 美沙 フォローする 0 人のフォロワー 投稿日 2016年12月5日. 推定読書時間: 2 分 |

原文(投稿日:2016/10/28)へのリンク

Microsoft Windowsカーネルに存在し、現在攻撃を受けている主要な脆弱性について、Microsoftが修正プログラムや緩和策を公開するより先にGoogleのThreat Analysis Groupが開示した

Googleによって開示された脆弱性は現に2つのバグに依存している。1つはWindowsカーネル、もう1つはAdobe Flashである。Googleのセキュリティエンジニアが、盛んに攻撃されていることから脆弱性を”特に重大”と判断して開示を決めたとき、Adobeが迅速にセキュリティパッチを提供した一方、Microsoftは勧告や修正を出していなかった。Adobeはこうもコメントしている。

CVE-2016-7855 の悪用は野放し状態であり、Windows バージョン 7、8.1 および 10 を実行するユーザーに対する限定的な標的型攻撃に使用されている。

Googleが開示した後、Microsoftは脆弱性を公にし、”多くの業界パートナーにより検証”を行った後、11月8日に修正プログラムを公開することを約束した。Microsoftの取締役副社長であるTerry Myerson氏は、脅威活動をすることで有名な組織であるStrontiumについて、より詳細を提供した。

Strontiumは通常、政府機関、外交機関、および軍事組織とともに、軍事産業や公的な政策研究所などの関連する民間組織を標的とする活動グループです。[… STRONTIUM は]コンピューターの侵害に成功するまで特定の標的に対して何か月も攻撃を続けるといったものです。一度内部に侵入すると、STRONTIUM は被害者のネットワーク内を自由に移動し、常時アクセスできるよう可能な限り深く侵入し、機密情報を盗み取ります。

Myerson氏によると、しかしながら、

修正プログラムが広く公開され検証される前に脆弱性情報を公開した Google の決断は評価できるものではなく、またお客様をさらなるリスクにさらすことになります。

Googleの早い開示は、自社の開示方針に則っており、重大な脆弱性を修正するのに企業に60日の猶予を与えるが、盛んに攻撃されている脆弱性には7日以内の修正または緩和策などの行動を取ることを求めるといった内容になっている。早い開示はユーザがターゲットになる前に自身を守る可能性を高める方法だとGoogleは考えている。

Microsoftは過去既に、さまざまな環境が複雑に絡んだ結果として”セキュリティの脆弱性に対応することは、複雑で、広範囲に及び、時間のかかる工程になりえる”と、Googleの脆弱性開示タイムラインを批判している。2つの企業の異なる姿勢は多くのセキュリティ調査者に対照的な見解を表明されている。

Rate this Article

Relevance
Style

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT