ハクソク

世界を動かす技術を、日本語で。

マイクロソフトのゼロデイ論争が激化、研究者が別のエクスプロイトダンプを脅迫

8時間前原文(theregister.com)

概要

  • Microsoft と著名バグハンター Nightmare Eclipse の対立が激化
  • Nightmareは 6件のWindowsゼロデイ脆弱性 を公開、7月14日に更なる脅威を予告
  • Microsoftは 非協調的な脆弱性公開 を非難し、法的措置も示唆
  • 脆弱性の公開直後から攻撃が増加、企業への影響も深刻化
  • 業界全体で 脆弱性報告プロセス の見直しが求められる状況

MicrosoftとNightmare Eclipseの対立激化

  • Nightmare Eclipse(別名Chaotic Eclipse) によるWindowsゼロデイ脆弱性の連続公開
    • 公開された脆弱性: RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma, MiniPlasma
    • 公開後すぐに BlueHammer, RedSun, UnDefend が攻撃対象となる事態
  • Nightmareは 7月14日に「骨を砕く」新たな脆弱性公開 を予告
  • Microsoftは 公式チャネルで事前報告がなかった ことを強調し、非協調的公開を非難
  • Microsoftによる 法的措置の可能性 も示唆
    • Digital Crimes Unit による法的対応」「世界中の法執行機関と連携」方針

Nightmare側の主張と企業への影響

  • Nightmareは Microsoftからの不当な扱い ・アカウント削除・報酬未払いを主張
  • Microsoftは私の手を縛っている」とし、6月中の追加公開は見送り
  • すでに「 6週間でAPTグループ1年分の被害」と企業側から指摘
    • Muhammad Qasim Shahzad による「パッチ適用猶予の短縮」指摘

業界専門家の見解

  • Zero Day InitiativeDustin Childs による「Microsoft側にも責任」指摘
    • 協調的脆弱性公開(CVD)は双方向の責任
    • Microsoftの顧客向けリスク説明の不足を批判
  • Luta SecurityKatie Moussouris による「Microsoftの対応は混乱を招く」指摘
    • 研究者への報酬・認知が保証される」という主張と現実の乖離
    • 責任ある公開」という表現の時代遅れさ・調整妨害への懸念
  • Kevin Beaumont による「 Microsoft自ら招いた混乱」批判
    • 過去に同様の手法で採用した事例を指摘
    • 責任ある公開を守らない者を犯罪者扱い」の法的正当性に疑問

研究者とベンダーの力関係・今後の課題

  • DavidとGoliathの力関係 :大企業と個人研究者の非対称性
    • 正規チャネル閉鎖・報酬未払い・名誉毀損への不満が過激行動へ
  • 協調的脆弱性公開の失敗によるユーザー被害
    • 交渉決裂時に最終的に損をするのはエンドユーザー
  • CVDの運用課題
    • Microsoftは協調が難しい企業」との評価
    • AI活用による脆弱性報告の増加で今後の対立激化を予測
  • 業界全体での冷静な対話とプロセス改善 の必要性

Hackerたちの意見

アクティブなフォークや、redsun undefendやbluehammerのためのアクティブな緩和策があるみたいだね。今のところ、yellowkeyは問題があるっぽい。というのも、そのエクスプロイトはMSが必要とするバックドアを利用して「あなたのコンピュータを管理」するから。最近、ようやくOOBの緩和策が提供されたみたいだよ。

MSが必要とするバックドアのソース:

今のところ、yellowkeyは問題があると思う。エクスプロイトはMSが必要とするバックドアを利用して「あなたのコンピュータを管理」するから。意図的なバックドアに見えるね。MSの反応もさらに疑わしい。これでほとんどの企業のノートパソコンのセキュリティが崩れるから、影響は大きいよね。報道者をもっと大切に扱って、問題を早く解決してほしいと思うけど…なんでこれを入れたのか気になるな。「あなたのコンピュータを管理するために」というメモもよくわからない。Microsoftがこんなものを入れる理由はないはずだから、強制されたか、監視なしでエンジニアが勝手にやったのかもしれないね。

「CVDは双方向のものだ」と彼は言った。「ベンダーにも責任があるから、何のやり取りも示さずにこの人がCVDを違反したと公に言うのは大胆だね。」 > 「彼らのプログラムは『研究者が報酬を受け取り、公に認められることを保証する』と混乱を招くように主張しているが、実際には何も受け取っていない研究者に対する声明でそう言っている。」いいこと言ったね。

Microsoftの不正行為に対して、この開示の形は倫理的だと思う。相互確証破壊みたいなもので、今回(聞く限りでは)Microsoftがズルをしようとして、うまくいくと思っていたみたい。結果を感じることで、彼らは抑制されるんだ。次回は、ここでのように人を扱う前に、もう少し考えるかもしれないし、過去に支払いを減らすために使っていた創造的な理由も思い出すかもしれないね。

正直言って、マイクロソフトの声明自体が雑に感じる。必ずしもLLMの雑さではないけど(まあ、誰もがそう思ってるけど、たぶんそうだね)、明らかに企業の雑な感じで、何も理解してないマネージャーが書いたみたい。彼らはこの問題がどう機能するかを理解している人を全員解雇しちゃったからね。でも、何かしらの声明を出さなきゃいけないという必要があったんだろう。

これがクレイジーな意見だってわかってる。でも、最近の多くのテック企業に対して、すごく落ち込んでるから、この人が責任ある開示を通じて彼らに巨額の恩恵を与えていることを指摘しているのに、少し満足感を感じてしまうんだ。とはいえ、エクスプロイトの被害者たちには申し訳ない気持ちもあるし、彼が結局は犯罪者扱いされるか、いつものように法律が大企業の意向を押し付けることになるのは確実だと思う。そう、これは間違いなく、ハードな一週間の後の金曜の夜の意見だね。

マイクロソフトはいい加減な報奨金プログラムを運営することを選んだ。研究者は正しいことをしようとしたのに、マイクロソフトはこれを防げたはず。警告も受けていたし、これは彼らの責任だよ。エクスプロイトは、研究者が報告するかどうかに関わらず存在するもんだからね。彼らがエクスプロイトを作ったわけじゃないし。

まったくその通りだよ。セキュリティ研究者のための保護をもっと強化すべきだし、企業がクソみたいなことをした場合はもっと厳しい罰を与えるべき。収益の何パーセントかを罰金にすればいいんじゃないかな。最近は遊びすぎてるし、ちゃんとした結果が出てないよね。

これがクレイジーだなんてことはないよ。クレイジーなのは、1兆ドルの企業に同情することだ。誰にもそう言わせちゃダメだよ。正しいことは、すべてのエクスプロイトを即座に公開すること。公共の利益のために行動している研究者には責任を問わず、エクスプロイトを引き起こした企業には最大限の責任を負わせるべきだね。

彼は最終的に犯罪者扱いされると思う。DMCAには「善意の」セキュリティ研究に対する例外があるけど、それが裁判官によってどう解釈されるかは分からない。著作権法以外では、マイクロソフトが法的に何を追及できるのかは不明だね。研究者は単に情報を開示しているだけだから。CFAAは適用されないし、自分のマシンで動いているオペレーティングシステムだから、無許可のアクセスはないよね。ただ、Eclipseを民事訴訟で引きずり回すことはできるかもしれないけど。まあ、マイクロソフトには全く同情しないよ。彼らは自業自得だし、これから起こることも含めてね。過去の悪行に対するカルマだと思ってる。

Microsoftの顧客の最善の利益は、即座の謝罪、少なくとも10万ドルの支払い、そして今後(さらなる)法的措置を取らないことを誓った署名入りの合意だと思う。Microsoftの否定は、これらの欠陥のエクスプロイトと同じくらい有害だよ。

それか、みんな土曜の朝2時にエクスプロイトを全部ぶちまけて、プットを買うとか。

そういえば、今までリリースされたバグの市場価値ってどのくらいなんだろう?

こういうエクスプロイトを公開するのは良くないけど、マイクロソフトが報奨金を支払わないのも良くないし、バグだらけのコードを書く権利を守るために法制度を利用しようとするのも良くないよね。

お金だけの問題じゃないけど、マイクロソフトは去年1010億ドルの純利益を上げて、利益率は36%だったんだよね。人間もAIも「完璧」なソフトウェアを作れるとは言わないけど、NASAは達成可能なことと商業ソフトウェアが一般的にやっていることの間には大きなギャップがあることを示している。欠陥のあるソフトウェアが引き起こす損害に対する責任を長い間免除してきたけど、これを変えるには、結局は企業の利益に影響を与える必要があるんだ。

NASAのソフトウェアは一般のインターネットからアクセスできるの?

バグバウンティの報告に対応するのは本当にやりがいのない仕事だよ。特に最近はAIのスパムが多かったり、言語の壁があったり、「先に金をくれ」とか、不完全な報告、大きな自尊心を持った人たち、すべての発見が重大な脆弱性として扱われるべきだと思ってる人たちがいるからね。こういう報告を扱う人たちは、しばしば勤務時間外や休日に対応しているし、小さな会社だとトリアージやパッチ作成、テスト、セキュリティリリースのプロセスも管理していることが多い。大きな会社だと、コードの各行にオーナーを見つけて、そのオーナーに深刻さを納得させる必要があるけど、実際にはその仕事をしても報酬を得られないことが多い。報告が来たときに間違った人が割り当てられたり、バウンティプログラムの本当の価値を理解していない人が担当になったり、調子の悪い人がいるだけで、会社の評判が完全に台無しになることもある。ここでもそんなことが起きたみたいだね(もちろん、マイクロソフトは以前にもこういうことをやってるから、結局どうなるかはわからないけど)。マイクロソフトは完全に透明であるべきだし、すぐにそうする必要がある。報告者の許可を得て、すべてのコミュニケーションを公開すべきだね。パッチがまだない場合は技術的な詳細を除外してもいいけど、そうしないと将来的に多くの人が彼らのバウンティプログラムを利用するのをためらうことになるし、みんなにとって悪い結果になるよ。彼らはほぼ確実に間違いを犯したし、それを認める必要がある。

これらの報告を扱う人たちは、しばしば営業時間外や休日に対応しています。それがマイクロソフトの場合なら、何かが非常におかしい。

ちょっと悪役を演じるけど、撃たないでね。キャリアの中で、いくつかのハッキングやDDoS攻撃、さらにはFBIとのやり取りも経験してきた。めちゃくちゃで、良い仕事をして生計を立てようとしている私たちにとっては非常にフラストレーションが溜まるし、不公平だよね。マイクロソフトのコードに石を投げてる人たち、あなたのコードがこの新しいAI時代から安全だって自信ある?明らかにマイクロソフトはこれをうまく扱えなかったし、この記事を読んでもバグバウンティの扱いがどうなってるのかはっきりしない。でも、それはこの「研究者」が免除される理由にはならない。0-dayを公開すること、特に未パッチの脆弱性に対する動作するエクスプロイトコードを公開するのは、非常に倫理的に良くないことだよ。普通のエンジニアや、この争いに関係のないユーザーに多大な害を及ぼす可能性があるからね。

彼らがエクスプロイトなしのコードを作れなかったのは責められないと思う。でも、エクスプロイトが指摘されたら、早めに対処するべきだよね。待てば待つほど、悪い奴らが見つける可能性が高くなるし。結局、ユーザーの安全のためには協力が必要なんだよ。

メッセンジャーを攻撃するのは、バグ報告の世界では昔からのトレンドだね。マイクロソフトは多くの政府からの支援を受けていて、最高の法律チームにもアクセスできるから、この人は大変な目に遭ってる。マイクロソフトは、複雑でユーザーに優しくないバグ報告システムを作ったことで、自分たちで問題を引き起こしているように見える。この人に仕事や契約を提供しても良かったんじゃないかな。Eclipseは高い深刻度のエクスプロイトを発見するのがすごく得意だからね。それに、Eclipseは様々な政府にエクスプロイトを売り込むこともできたはず。そういう市場は存在するし、NSAのポートフォリオに入っていない限りね。多くの正当な企業も同じことをしてるし。この記事の引用ではEclipseが被害の責任を負わされてるけど、実際にはマイクロソフトに責任があるべきだと思う。EclipseはAIフレームワークを使っている一人の人間に過ぎない。マイクロソフトは自社製品の問題を発見して修正するためのリソースをはるかに多く持っているのに、自分たちでやろうとしないみたいだね。

アップルの0dayを報告した人を知ってるけど、似たような扱いを受けてたよ。あの小物たちからはそんな扱いを受けるのも当然だね。時代は変わったんだな。