Facebookがポリシーを変更して、サードパーティの開発者のコードにセキュリティの脆弱性を見つけたらその企業に通知することになった。
この変更を発表するブログ記事でFacebookは「サードパーティのコードやシステムに重要なバグや脆弱性を見つけた場合、問題が直ちに修復されることが最も優先される。同時に、被害を受けたユーザーに通知して、パッチやシステムのアップデートにより自らを防御してもらう必要がある」と書いている。
Facebookは前にもサードパーティの開発者に脆弱性を通知していたが、今回のポリシーの変更でセキュリティの脆弱性を開示し公表することが正式に条文化された。
Facebookのこの脆弱性開示プログラム(VDPs)より、企業はセキュリティのバグを見つけて開示するための関与規則を設定できる(未訳記事)。VDPsはまた、バグが修復されたら行う脆弱性の開示と発表の方法をガイドしてくれる。企業の報告と開示の規則に従うハッカーに対しては、バグ褒賞制度で賞金を提供する企業が多い。
このポリシー変更は完全に利他的ではない。Facebookもほかの多くの企業と同様に、大量のサードパーティコードとオープンソースのライブラリに依存している。しかし今回、変更を明文化したことによって、サードパーティが脆弱性をタイムリーに修復しなかったら該当各社に通知が行くことになる。
脆弱性開示プラットホームを運営するBugcrowdの創業者でCTOのCasey Ellis(ケイシー・エリス)氏によると「ポリシーの変更はいま、大きくてユーザー中心型でサードパーティのコードが攻撃されやすい企業で広く採用されるようになっている。Atlassian(アトラシアン)やグーグル、マイクロソフトなどの企業でも同様の取り組みをしている」という。
Facebookによると、同社が脆弱性を見つけた場合にはサードパーティの開発者に21日以内に報告することと、90日以内に問題を修復する義務が課せられる(Facebook’s Vulnerability Disclosure Policy)。この2つの時間枠はセキュリティ問題の報告と修復に関して以前から広く受け入れられている。同社は脆弱性を報告するための正しい連絡方法を最善の努力により見つける。例えば、メールによるセキュリティ報告であったり、バグトラッカーによる機密詳細のないバグの申告であったり、サポートチケットの申請だったりするだろう。しかし同社によると、脆弱性がアクティブでいま現在ハッカーが悪用ている場合や、開示が遅れて修復にはもっと時間がかかると合意された場合には、早めに開示する権利をFacebookは留保するとしている。さら同社が報告するセキュリティ問題に関しては一般的に、秘密保持契約書への署名を必要としないとのこと。
Luta Securityの創業者Katie Moussouris(ケイティ・ムスーリス)氏はTechCrunchに、「悪魔は細部に宿る」と語った。同氏によると、「このテストで初めて彼らは引き金を引かざるをえなくなり、減免ガイドにより、競合他社に対するゼロデイをなくしたことになる」という。以前のパッチされてない脆弱性の場合は、それらをパッチするゼロデイが課された。
この新しいポリシーはもっぱら、サードパーティコードにおける問題の開示をFacebookがどう扱うべきかにフォーカスしている。もしも研究者がFacebookやその系列アプリにセキュリティの脆弱性を見つけたら。従来どおり、Facebookの現行のバグ褒賞制度(Bug Bounty Program)で報告するだろう。。
ポリシー変更の一環としてFacebookは「一度修復された脆弱性も開示する」と説明している。また別のブログ記事では「WhatsAppのオーナーであるFacebookが、メッセージングアプリの6つの脆弱性を開示(未訳記事)し、その後修復した」と書かれている。
[原文へ]
(翻訳:iwatani、a.k.a. hiwa)
