Microsoft Windowsカーネルに存在し、現在攻撃を受けている主要な脆弱性について、Microsoftが修正プログラムや緩和策を公開するより先にGoogleのThreat Analysis Groupが開示した。
Googleによって開示された脆弱性は現に2つのバグに依存している。1つはWindowsカーネル、もう1つはAdobe Flashである。Googleのセキュリティエンジニアが、盛んに攻撃されていることから脆弱性を”特に重大”と判断して開示を決めたとき、Adobeが迅速にセキュリティパッチを提供した一方、Microsoftは勧告や修正を出していなかった。Adobeはこうもコメントしている。
CVE-2016-7855 の悪用は野放し状態であり、Windows バージョン 7、8.1 および 10 を実行するユーザーに対する限定的な標的型攻撃に使用されている。
Googleが開示した後、Microsoftは脆弱性を公にし、”多くの業界パートナーにより検証”を行った後、11月8日に修正プログラムを公開することを約束した。Microsoftの取締役副社長であるTerry Myerson氏は、脅威活動をすることで有名な組織であるStrontiumについて、より詳細を提供した。
Strontiumは通常、政府機関、外交機関、および軍事組織とともに、軍事産業や公的な政策研究所などの関連する民間組織を標的とする活動グループです。[… STRONTIUM は]コンピューターの侵害に成功するまで特定の標的に対して何か月も攻撃を続けるといったものです。一度内部に侵入すると、STRONTIUM は被害者のネットワーク内を自由に移動し、常時アクセスできるよう可能な限り深く侵入し、機密情報を盗み取ります。
Myerson氏によると、しかしながら、
修正プログラムが広く公開され検証される前に脆弱性情報を公開した Google の決断は評価できるものではなく、またお客様をさらなるリスクにさらすことになります。
Googleの早い開示は、自社の開示方針に則っており、重大な脆弱性を修正するのに企業に60日の猶予を与えるが、盛んに攻撃されている脆弱性には7日以内の修正または緩和策などの行動を取ることを求めるといった内容になっている。早い開示はユーザがターゲットになる前に自身を守る可能性を高める方法だとGoogleは考えている。
Microsoftは過去既に、さまざまな環境が複雑に絡んだ結果として”セキュリティの脆弱性に対応することは、複雑で、広範囲に及び、時間のかかる工程になりえる”と、Googleの脆弱性開示タイムラインを批判している。2つの企業の異なる姿勢は多くのセキュリティ調査者に対照的な見解を表明されている。
Rate this Article
- Editor Review
- Chief Editor Action