脆弱なシステムの公開

セキュリティアドバイザリが誤って脆弱なシステムの情報一覧を公開するという事態が起こってしまいました。

脆弱性情報は日々新しく公開されていきます。
目まぐるしく公開されていきます。

脆弱性情報の公開サイトのひとつにMITRE CVE Listがあります。
ここでは多くの脆弱性情報を参照することができます。
通常脆弱性情報には次のような情報が含まれます。

• 概要説明
  問題の概要が表記されます。

• 参考文献
  問題の把握のための参考情報が列挙されます。
  通常、脆弱性を説明する元のソース（記事、ブログ投稿、PoCデモ）へのリンクがリストされています。

• CNAの割り当て
  CVE Numbering Authorityです。
  CNAは当該のCVE番号に権威をもつ関連組織です。
  MITRE自身が割り当てられることもありますし、管理権限を委譲された組織が割り当てられることもあります。

• 作成日
  当該のCVE番号の情報が作成された日です。

これらのそれぞれが意図された内容である場合においては何ら問題はありません。
しかし今回確認されているケースでは、この参考文献の部分にその脆弱性をその時点でも有していた実際のシステムのURLを記載した状態で公開してしまうということが発生しました。

公開された後で、この公開されてしまった情報に不適切な内容が含まれていることに第三者が気付き、その内容を連絡し、やがてその情報は適切な状態に変更されました。

通常の人がこれを目にしても問題とはならないのかもしれませんが、この情報は誰の目に留まるかわかりません。
場合によってはその人が脅威の攻撃者となり、これらのシステムを標的にして悪意のある活動を行う可能性が考えられます。

脆弱性情報は年々公開される数が増えていきますので、関わる人々の負担は増える一方です。減る気配がありません。
負担の大きさは想像が容易ですが、これはやらかしてしまった例となりました。
自組織から何かの情報を開示する際には何段階かの確認の手順を経るようにするなどし、公開される情報が公開されるべきものとなるように自組織で体制を整える必要があります。
短い時間でも情報が公開されてしまうと、どこかの管理の及ばない場所に魚拓のように公開した事実が記録されてしまうことも起こります。
管理が及ばない場所でも記録されてしまったことが把握できたものについては削除を依頼することができるかもしれませんが、記録されたことがわからないものについては削除依頼をすることすら叶いません。
体制作りとその確実な運用を行うことの重要性を感じます。

参考記事（外部リンク）：Security advisory accidentally exposes vulnerable systems
www.bleepingcomputer.com/news/security/security-advisory-accidentally-exposes-vulnerable-systems/