IPA(情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター)によって昨年7月から運用されている「脆弱性情報届出制度」は、運用開始から1年以上が経過した。実際に同スキームを利用してソフトウェアの脆弱性が指摘・修正されるケースも多くなっているが、一方で主にオープンソースの形態で開発されているソフトウェアについて、当初同制度が想定していた形態ではうまく運用ができないケースが出てきている。

そういったオープンソースソフトウェア特有の問題については、既に9月に開催されたオープンソースカンファレンス2005の席上において概要が説明されていたが、今月、実際にオープンソースソフトの開発に関わる関係者を対象とした説明会が開催され、細かい各論の部分について出席者と主催のJPCERT/CC側との間で議論が交わされた。

オープンソースソフトウェアの脆弱性処理特有の問題とは?

一般的にあるソフトについてユーザから脆弱性に関する報告がIPAに寄せられた場合には、その内容を検証した上でJPCERT/CC経由で開発者に対し連絡を行うことになるのだが、この際脆弱性に関する詳細情報などが外部に漏れると、脆弱性に関する対策の完了前に攻撃を受ける、いわゆる「ゼロデイアタック」を招いてしまう。そのため脆弱性に関する十分な機密保持が必要となるのだが、この点においてオープンソースソフト特有の問題がいくつか存在するという。本説明会ではJPCERT/CCの戸田洋三氏らが、これまでの実例を元にそれらの問題について語った。

まず開発者側はJPCERT/CCに対し連絡先窓口(PoC: Point of Contact)に関する情報を登録する必要があるのだが、商用ソフトの場合は相手が企業の場合が一般的なので、JPCERT/CCでは実際に脆弱性情報を相手に渡す前に、企業の登記簿の提出を求めたり企業内における機密保持体制に関する面接調査を行ったりするなど、その企業が未公開の脆弱性情報を提供する相手として信頼できるかどうかを確認している。しかしオープンソースソフトの場合は開発者が個人の場合も多く、なおかつ脆弱性情報に関する連絡を受けた場合でも「住所や電話番号は公開したくない」としてメールアドレスしか教えてくれないケースもあり、十分な本人確認が取れないまま情報を渡さざるを得ないこともあるという。JPCERT/CCによれば「(全く関係のない第三者が開発者を名乗るなど)だまされたケースは今のところない」とのことだが……。

また連絡を受けた開発者側はそれを修正するための対応に入ることになるが、オープンソースソフトの場合はバグ情報などをBugzillaやWikiなど一般ユーザにも見える形で共有していることが多いため、中には当該脆弱性に関する情報がそれらのバグデータベースに掲載されてしまい、急遽情報を公開せざるを得なくなった例もあるとのこと。その他にも、今のところ例はないが既に当該ソフトの開発・サポートが終了していた場合にどうするか(その場合の対応について、戸田氏は「このソフトは使わないで下さい、と書くしかない」と語った)など、オープンソースソフトの脆弱性情報取り扱いがはらむ様々な問題が示された。