Impervaは3月8日(米国時間)、「Early Vulnerability Disclosure Thwarts WordPress Hackers|Blog|Imperva」において、脆弱性に関する情報は適切なタイミングで公開していくことが重要だと指摘した。同社は先日のWordPress 4.7.2に存在する脆弱性の修正に関してWordPressと協力して対応を進めたことを引き合いに出し、迅速に準備を進め適切なタイミングでィ脆弱性情報を公開することの重要性を強調している。
脆弱性情報の公開はハンドリングが難しい側面を持っている。脆弱性を公開することで対応が進むきっかけを作るが、それと同時に公開された情報を攻撃者の手段として与える可能性にもなる。また、周辺の準備ができていない状態で脆弱性情報の詳細を公開すると、サイバー攻撃側に有利な状況のみを生み出す結果にもなりかねない。記事では、先のWordPressの脆弱性情報の公開後、1日かけて緩やかに攻撃が増え、数日後にピークに達し、そのあと収束していったことなども伝えている。
なお、ソフトウェアベンダーやプロジェクトの対応が遅い、または対応する気配が見えないことから、脆弱性情報が先行して公開されることもある。こうした公開の結果として対策が進むということもあり、やむを得ず公開されるケースがあることも少なくない。ケースバイケースでの対応になりやすいが、ソフトウェアを利用しているユーザーは最新のセキュリティ情報に気を配るとともに、迅速に対策や対応を実施していくことが望まれる。
