「脆弱性を探すためにコードを読むな」とOracleの最高セキュリティ責任者がブログを投稿後に速攻で削除


ソフトウェアやサービスの脆弱性はユーザーだけでなくサービス提供者にとっても厄介な存在で、脆弱性についての指摘に対して報奨金が支払われることも多くなってきました。しかし、Oracle(オラクル)のChief Security Officer(CSO:最高セキュリティ責任者)はブログで、「脆弱性を探すためにコードを読解することは利用規約に反しているのでやめるべき」と書き込んだ後、非難の嵐を受けて投稿を速攻で削除しています。

No, You Really Can’t (Mary Ann Davidson Blog)
https://web.archive.org/web/20150811052336/https://blogs.oracle.com/maryanndavidson/entry/no_you_really_can_t

Oracle CSO goes against bug bounties and security researchers - Business Insider
http://www.businessinsider.com/oracle-cso-goes-against-bug-bounties-and-security-researchers-2015-8

オラクルのメアリー・アン・デビッドソンCSOは、2015年8月10日に「No, You Really Can’t(やめて。本当はできないはず)」という投稿をブログで公開しました。その投稿内容は、「オラクルの製品の脆弱性についてユーザーに対策を指南したりセキュリティパッチを作成するセキュリティコンサルタントがいるが、それらの行為はリバースエンジニアリングの類いのもので、オラクルのソフトウェア利用規約に反する行為であるので即刻、やめるべき」というもの。


デビッドソンCSOの投稿の趣旨は以下の3つの理論で構成されています。それは、「利用者は、スキャニングツールが騒ぎ立てる攻撃をコントロールできるかどうかを調べるためにコードを解析できない」「利用者は、脆弱性に対するパッチを作成することはできない。それをできるのはベンダー(オラクル)だけ」「利用者はソースコードを分析するツールを使うことによってライセンスにほとんど違反した状態である」という内容。


このような3原則を打ち出して、顧客に対してコードの解析行為をやめるように訴えかけたデビッドソンCSOですが、その背景には、毎日のようにオラクルのセキュリティ対策部門に寄せられる顧客からの脆弱性の通報と対策の催促があまりにも多く、また、顧客に対してセキュリティに関するアドバイスを行うセキュリティコンサルタントの存在があり、彼らが脆弱性をチェックするためにチェッキングツール・分析ツールを利用していることはリバースエンジニアリングとして利用規約に反している、ということがあるようです。つまり、利用規約違反にあたるツールを用いて脆弱性をチェックするのは違反行為なのでやめるべきだ、というわけです。

ブログの投稿内でQ&Aも公開されており、そのやりとりからはデビッドソンCSOの考え方が何となく分かります。

Q:
顧客が雇ったセキュリティコンサルタントは利用規約に同意していませんが?

A:
利用者が利用規約に同意した以上、コンサルタントも縛られます。そうでないと、コンサルタントを雇えば赤子のように文句を言いたい放題、悪いコンサルタントならやりたい放題ということになるでしょう。


Q:
実際に脆弱性があれば、オラクルは何をしてくれるの?

A:
脆弱性があれば修正します。たとえ違反によって得られた脆弱性の指摘であっても。私たちはすべての顧客を守ります。それはすなわち、すべての人が同じタイミングで修正を受けるということです。脆弱性を指摘しても特別なパッチを受けることはできません。ライセンス規約に違反してくれてありがとう、とお礼を言うことはありません。


Q:
提案です。バグ報告に報奨金をだしてみては?

A:
「(ため息)ある有名なセキュリティ対策企業によるとセキュリティ研究者からの脆弱性の報告は全体の3%とのこと。けれど、その3%にお金を使って得られる教訓がないよりも、ハッキングに対応できる人員を一人でも多く雇いたいです。


Q:
たしかに悪意あるリバースエンジニアリングもあるでしょうが、善意で脆弱性を報告する行動をも制約するのはなぜですか?

A:
オラクルの利用規約は私たちの知的財産権を守るために存在します。善意ある行動という大義を持っても利用規約を反故にすることの言い訳にはなりません。セキュリティ上の問題を見つけるためにコードをリバースエンジニアリングしないように再度求めます。それは私たちの仕事です。


しかし、デビッドソンCSOの考えに従えば、脆弱性があるソフトウェアを利用することでサイバー犯罪の被害を被りかねない状態を甘受しろ、ということになりかねないわけで、その内容が不当であることは明らかです。むしろ、ソフトウェア開発者が開発段階で回避できなかった脆弱性の存在を発見して通報してくれる第三者の存在は、ソフトウェア開発者としては本来的には協力者とも言える存在なわけで、脆弱性を発見するセキュリティコンサルタントやユーザーの存在を「利用規約に反する不届き者」と十把一絡げに断罪するデビットソンCSOの投稿が大きな批判を受けたことは無理のないことと言えそうです。

非難を受けてデビッドソンCSOはブログの投稿を削除しました。この対応についてオラクルは、「製品やサービスのセキュリティはオラクルにとって常に決定的に重要なものです。オラクルは製品のセキュリティを保証する強固なプログラムを持ち、オラクルテクノロジーの安全性を確かなものにしてくれるサードパーティやユーザーと協働します。デビッドソンCSOの投稿は私たちの理念や顧客との関係を反映したものではないため、削除いたしました」と公式見解を出しています。

・関連記事
NSAなどが市販セキュリティソフトをリバースエンジニアリングして諜報活動に役立てていたことが判明 - GIGAZINE

MicrosoftがJavaにバンドルされている「Askツールバー」をマルウェア認定 - GIGAZINE

「AdobeはFlash終了の日を発表すべき」とFacebookのセキュリティ担当が発言 - GIGAZINE

CEOが巨額の報酬を得ている企業ほど実際の業績は悪化しているという現状が明らかに - GIGAZINE

OracleがSunを買収、今年の夏には完了へ - GIGAZINE

229

in ソフトウェア,  メモ, Posted by logv_to