トリップワイヤの脆弱性調査チーム「VERT」が語る、脆弱性悪用の傾向：“バグハンター”共通の苦労も（2/2 ページ）

VERT調査員も経験しているバグハンターの苦労

　オラクル製品やLinuxカーネルなど、さまざまなソフトウェアの脆弱性調査を行ってきたというヒブズ氏。同氏が愛用しているのは、検証用にさまざまな環境を再現するVMwareの他、WiresharkやTCPdump、Regshot、Kali LinuxにNmap、BinWalk、IDA Proといった、セキュリティ研究者にはおなじみのツール群だ。そして時にはPythonを活用してツールを作成し、作業の自動化にも取り組んでいるという。「セキュリティ研究者にとっては、プログラミングスキルも大切だ」（ヒブズ氏）

　同氏は、「脆弱性調査の一部を自動化することで、限られた人手でも、多数の脆弱性に一貫した形で対応できるようになる。手作業でカバーできる範囲はどうしても限られる。より簡単な問題への対処を自動化することで、全体を見渡し、人間がより複雑な問題に注力できる」とも述べている。

　VERTではこうして検証した脆弱性を、CVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）をベースに幾つか独自の指標を加味してスコアリングし、IP360で管理できる形で提供している。時には未知の脆弱性を発見し、ベンダーと調整を図ることもあるというが、その過程では個人のセキュリティ研究者同様に、「返事が返ってこない」「脆弱性の深刻度や影響範囲について合意が得られない」といった苦労もあるようだ。

VERTが発見した脆弱性に関し、ベンダーとやりとりした経緯がまとめられたブログ記事

　こうした経験を踏まえて同社は、「責任ある公開（Responsible Disclosure）は相互協力に基づくもので、リサーチャーとベンダー、双方の適切な対応とお互いへの配慮が必要だ」と述べている。

　特にベンダーには、セキュリティ専用の連絡先を公開しておき、脆弱性に関連する情報を受け取ったら迅速に調査、トリアージ（事案を緊急度などによって分類し、対策の優先順位を決めること）の体制を整えておくこと、その過程で、修正や公表に向けたスケジュールをリサーチャーと共有することが望ましいとした。また、自社の製品に存在する脆弱性の発見者に報奨金を支払う「脆弱性報奨金制度」も、基準や支払条件を適切に定義した上で実施すれば「成熟したセキュリティプログラムに向けた論理的な一歩となる」と位置付けている。