the Month of PHP Bugs: MoABにそっくり!?

PHPを対象にセキュリティに関する脆弱性を報告するサイト「the Month of PHP Bugs」(MOPB )が活動を開始している。運営主体となっているのは"Hardened-PHP Project"で、メンバーとしてStefan Esser、Christopher Kunz、Peter Prochaskaの3名が公表されている。

MOPBの活動目的はPHPのセキュリティを向上させることで、PHPの言語仕様やPHPアプリケーションは対象とせず、PHPのコアであるZend Engineの脆弱性に集中するとしている。現在は始動直後ということもあり、既知のバグを中心に公開を始めている段階だ。本稿執筆時点では5つの記事が公開されている。

なお、サイトの名称やデザインが、AppleのMacOS Xの脆弱性報告サイト「MoAB: the Month of Apple Bugs」に酷似しているが、特段の関連はないという。違いとして挙げられているのは、

1. PHPという単一の製品のみを対象としている
2. 1日1つの脆弱性を報告すると決めてはいない

という2点だ。サイトデザインの類似性については、MoABのサイトがシンプルで見やすいため、MoABの許可を得てデザインを利用しているという。

現時点では、公開されている脆弱性の情報もごくわずかであり、このサイトがどれほどの影響力を持つことになるかはわからない。ただ、あらかじめFAQとして回答を試みているが、ここで公開されている脆弱性のいくつか(現時点では5つのうちの2つ)には、その脆弱性を攻撃するコード(Exploit Code)も合わせて公開されている点には注意が必要だろう。攻撃コードを公開する理由として挙げられているのは、脆弱性が確かに存在していることの証明としてという理由もあるが、主たる理由は、脆弱性を的確に攻撃するテストができないと修正も的確に行えないからだという。MOPB運営側は「PHPの脆弱性は正しく修正されなかったり、同じバグが最新バージョンで再度発生してしまっていたりする」としている。つまり、脆弱性が修正されていることを検証するためのツールとして使える、という主張だ。

MOPBの活動の背景に、PHPの開発に携わるPHP Security Response Teamへの不満があるのも間違いないようだ。FAQの中は、Security Response Teamにまずバグの報告をしても、修正コードがリリースされるまでに数カ月かかることもある、という不満が表明されている。

MOPBは今後日々情報を更新していくということなので、PHPを業務で利用しているユーザーは、未対応の脆弱性が報告されてないかどうかを日々確認するのが望ましいだろう。