韓国のセキュリティアプリの脆弱性を公開したウラジーミル・パラント氏のインタビュー記事
(thereadable.co)ウラジーミル・パラント氏が、韓国のセキュリティアプリケーションにおける複数の脆弱性の公開に関連して、1月に書面インタビューを行った内容:
- 「韓国インターネット振興院の脆弱性分析チームはThe Readableに送ったメールで、サイバーセキュリティ研究者が報告したセキュリティ問題を評価した結果、深刻な被害を引き起こし得る高リスク脆弱性ではないとの結論に至ったと明らかにした。」
- この問題を詳しく調査している金融保安院の関係者は、「この脆弱性が攻撃者によって実際に悪用される可能性は低いと判断しています」と述べた。 「その影響とは関係なく、依然として対処すべき脆弱性ではあります。」
- パラント氏は「一部の犯罪者がこのアプリケーションを見つけて悪用し始めるのは時間の問題にすぎない」と警告した。
- パラント氏は「企業が倫理的に行動し、善意のもとで安全なソフトウェアを構築することを期待することはできません」と断言した。彼は、重要なアプリケーションのセキュリティ脆弱性について独立した研究者がレビューすることの重要性を強調した。
4件のコメント
脆弱性が明確で、しかもすべて公開されているのに、実際に悪用される可能性は低いというのはどういう意味でしょうか
「実際に悪用される可能性が低い」というのは、KISAのバグバウンティ制度で報奨金がなぜ低いのかと尋ねると、よく返ってくる答えです。彼らの基準では、メモリ破損によって任意コード実行まで可能でなければ高リスク脆弱性ではなく、悪用される可能性も高くないということです。
おそらくパラント氏は外国人であるため脆弱性報告の報奨金を受け取れませんが、韓国人はこのようなセキュリティ脆弱性をKISAに通報すれば、バグバウンティ制度を通じてお金を受け取ることができます。
では、韓国人は脆弱性を報告すればお金ももらえるのに(もちろん、そのような脆弱性があったという事実は静かに埋もれてしまうのでしょうが。)、こうした問題を外国人が公に書いた理由は(…)
日本語訳のリンクを見に行くと、「この場合、精巧に作られたフィッシングWebサイトを通じてユーザーを誘導するなど、さまざまな前提条件が必要だとこの関係者は説明した。また、エクスプロイトが正常に展開されたとしても、致命的な被害につながる可能性は低い」という一文があることからすると
「ドアには鍵がかかっていないが、そのドアまでたどり着く道のりが非常に険しい」といった感じのようです
あまり良い答えではない気がします