Googleの脆弱性発見チーム「Project Zero」が開示ポリシーを変更、パッチ適用までの猶予が設けられる

サイバー攻撃の中でも対処が難しいゼロデイ攻撃を専門に研究するGoogleのセキュリティチーム「Project Zero」が、発見した脆弱性の技術的詳細についての開示ポリシーを変更しました。今回のポリシー変更により、ベンダーが脆弱性の修正パッチを開発した後、ユーザーがパッチを適用するまでの時間が確保されるとみられています。

Project Zero: Policy and Disclosure: 2021 Edition
https://googleprojectzero.blogspot.com/2021/04/policy-and-disclosure-2021-edition.html

Google's Project Zero updates vulnerability disclosure rules to add patch cushion | The Record by Recorded Future
https://therecord.media/googles-project-zero-updates-vulnerability-disclosure-rules-to-add-patch-cushion/

Project Zero allowing for more time to roll out patches in 2021 - 9to5Google
https://9to5google.com/2021/04/15/google-project-zero-2021/

Project Zeroのチームリーダーであるティム・ウィリス氏は2021年4月15日のブログ投稿で、Project Zeroのチームは自分たちの使命を達成するためにポリシーと慣行の調整を行っているとコメント。脆弱性の修正パッチを開発するベンダーなどからのフィードバックに基づいてポリシーを評価し、2021年の新たなアプローチを作ったと述べています。

2020年までのポリシーでは、Project Zeroのチームがゼロデイ脆弱性を指摘してから90日後に、たとえ修正パッチが開発されなくても技術的な詳細が開示される仕組みでした。そのため、「90日以内にパッチをリリースするのは無理だが104日以内にリリースできる」という場合、ベンダーは90日にプラスして14日の猶予期間を要求することが可能でした。なお、すでにユーザーへの被害が確認されている脆弱性については、指摘から7日後に開示されていたとのこと。

一方で2021年の新たなポリシーでは、脆弱性のパッチがリリースされなかった場合は90日後に技術的詳細が開示されますが、パッチがリリースされた場合はリリースしてから30日後に技術的詳細が開示される仕組みとなっています。つまり、Project Zeroの指摘から85日後にベンダーがパッチをリリースした場合、技術的詳細の開示は指摘から115日後に行われることとなります。

なお、ベンダーが要求できる猶予期間は2020年と同様に14日ですが、猶予期間は「修正後30日」の日付に算入されるとのこと。たとえば、指摘から90日＋猶予期間10日を使って指摘から100日後にパッチをリリースした場合、技術的詳細の開示は「100日＋(30日－10日)＝120日」後にリリースされるそうです。また、すでにユーザーへの被害が確認されている脆弱性についても、指摘から7日以内に修正パッチがリリースされた場合、技術的詳細の開示は30日後となっています。

今回の変更についてウィリス氏は、影響を受けるユーザーが製品をアップデートするための時間的猶予を設けるためだとしています。以前の「指摘から90日後に技術的な詳細を開示する」というルールは、ベンダーに対して暗黙のうちに「90日以内にパッチをリリースするだけでなく、ユーザーがパッチを適用できる時間も確保するように」との圧力をかけることが目的でした。

ところが、ベンダーはこの暗黙の圧力に気付かず、90日間ギリギリまでパッチ開発を行うケースもあったとのこと。さらに、ベンダーからは「90日以内にパッチを開発しても、ほとんどのユーザーがパッチを適用する前に90日後の開示期限が来てしまう」という懸念の声も寄せられました。

そこでProject Zeroは「パッチ開発に90日＋技術的詳細の開示まで30日」という期間を明示することにより、パッチ開発のタイムラインをわかりやすくしたと述べています。なお、「60日＋30日」というスケジュールにしなかったのは、突然の変更でベンダーに混乱をもたらすのを避けるためだそうです。Project Zeroは脆弱性発見からパッチをリリースするまでの期間を短くしたいと考えており、段階的に「90日＋30日」のタイムラインが縮められる可能性を示唆しています。

脆弱性の技術的詳細を迅速に開示する動きについては、「攻撃者と防御者のどちらにとって利益が大きいのか？」という議論があります。Project Zeroは攻撃者から企業やユーザーを防御してきた経験から、技術的詳細の開示がインターネットユーザー全体の保護につながると主張していますが、懸念の声にも耳を傾けてポリシーに組み込んでいるとのことです。