世界トップの脆弱性発見コミュニティ “Zero Day Initiative”とは？

トレンドマイクロ Zero Day Initiative（ZDI）
グローバルコーディネーター Shannon Sabens

3,000人以上の研究者が脆弱性の発見を競う

── まずはZDIの概要を教えてください。

ZDI は、サイバー攻撃に悪用される危険のあるソフトウェアの脆弱性を発見するためのコミュニティで、世界中のセキュリティ研究者が参加しています。2005 年に開始し、10年以上の歴史があります。現在では世界約 80 カ国約 3,000 名のセキュリティ研究者が参加しています。

ZDIでは、彼から収集した脆弱性情報を、攻撃に悪用される前にソフトウェアベンダに連絡し対応を求めたり、一般公開することで、インターネットの安全向上を図っています。

── 世界中から研究者を集めるコミュニティの特徴とは？

ひとつは、どんな企業の製品やサービスでも幅広く扱う中立性の維持です。ZDI の脆弱性公開方針がオープンになっていることも特徴です。こういう場合は公開する、こういう条件なら公開を待つ、というポリシーが明確に定められています。たとえトレンドマイクロの製品であっても ポリシーに則りZDI は公開するでしょう。どんな相手でもポリシーを変えません。開始から 10 年以上にわたり一貫して研究者とベンダに敬意を払い、透明性の高いポリシーのもと脆弱性情報を扱ってきたことが、わたしたち ZDI が信頼を得られている理由だと思います。

またZDIでは脆弱性報告者に対して報奨金を支払いますが、これはコミュニティを成長させる意図で行っています。開発元に脆弱性を報告する際、本人の希望がない限り、個人情報を伝えることは絶対にありません。情報源のプライバシーは厳重に秘匿されるのです。

そのほか、大企業を中心にグローバルで利用されるTippingPoint のフィルターに ZDI の脆弱性情報が用いられていることも信用を裏付ける一因になっています。

他ベンダを圧倒する脆弱性公開件数

脆弱性を自ら検証、適切な対応をベンダと協議

── 発見された脆弱性にZDIではどのように対処するのか。

ソフトウェアベンダに報告し、修正を求めることで、攻撃への悪用を防ぎます。また、報告された脆弱性については、脆弱性を検証し調査を行います。脆弱性を正確に把握することで、ソフトウェアベンダに適切な対応を求めることができるのです。

ZDIでは脆弱性の範囲や重要度などに応じた対応基準を設けており、それに照らし合わせた対応をベンダと協議していきます。脆弱性の発見だけなく、その後のベンダの対応まで支援することが、インターネットの安全につながりますし、またZDIの信頼性にもつながっているのだと思います。

残念ながら、脆弱性対策に積極的ではないベンダも存在します。こうしたケースにおいて、脆弱性が危険なまま放置されないよう、根気強く啓発を行い、その重要性を理解してもらうのも活動の一つです。修正対応のプロセスが整備されていないベンダには、ノウハウをもとに修正するプロセスをサポートすることもあります。昨今では、デバイスの多様化などにともない、ソフトウェアの対象も拡大しています。このためこうした活動がより重要になっています。

── IT環境の変化が新しいチャレンジをもたらしているということですね。

最近では SCADA の脆弱性などに関しても、迅速な情報収集と対応の実績を残しています。2016 年だけで、SCADA/ICSの脆弱性に対する300件にものぼる脆弱性フィルターの提供につながっています^※3。また、2010年に問題になったStuxnetのケースでも、ZDIはいち早く研究者から報告をうけて、情報を把握していました。ベンダからも修正パッチが公開されていましたが、実環境では脆弱性は修正されずに残っていたため、ZDIでの脆弱性情報が結果として、新しいフィルターとしてユーザを保護することになりました。

── 今後のチャレンジを教えてください。

ZDI による脆弱性公開件数は右肩上がりで増加しています。インターネットとスマートフォンの普及によって、ソフトウェアの数が著しく増加し、潜在的に攻撃リスクを持つ対象が広がったことがひとつの原因です。また、 IoT など生活や人体に密接した機器やアプリケーションの存在によって、これまでよりも大きな影響が危惧されつつあり、一般社会における脆弱性に対する注目も高まっています。こうした変化の中でわたしたち ZDI は、セキュリティ研究者とソフトウェアベンダの間のギャップを埋める役割を今後も果たしていきたいと思います。