世界各地で悪用が伝えられていた「Follina」と呼ばれるゼロデイの脆弱性が、Microsoftの6月14日の月例セキュリティ更新プログラムで修正された。同社は4月の時点で外部の研究者から報告を受けていながら、いったんはセキュリティ問題ではないと見なしていたことも判明。そうした経緯を巡り、脆弱性に対する対応や情報開示の在り方に関する論議も浮上している。

 今回の脆弱性は不正なWord文書について、研究者が5月27日にTwitterで伝えたことをきっかけに発覚した。セキュリティ企業の米Qualysによると、この時点でセキュリティ製品による検出率は極めて低かった。しかし他の研究者からも危険性を指摘する声が高まり、Microsoftは同月30日、サポート診断ツール「Microsoft Support Diagnostic Tool」(MSDT)に脆弱性が存在することを確認し、「CVE-2022-30190」という識別番号を割り当てた。

 この問題を悪用すれば、攻撃者がメールで送りつけるなどしたWord文書をユーザーが開いたり、プレビューしただけで任意のコードを実行され、システムを遠隔制御される恐れがあった。しかも、Wordを悪用した一般的な攻撃と違ってマクロを有効にさせる必要はなく、比較的簡単に悪用することが可能だった。

 ちなみにFollinaの名称は、不正なファイルで参照されていた0438という番号がイタリアのフォリーナのエリアコードだったことにちなみ、研究者が命名した。

●4月に報告が上がるも、Microsoftは「セキュリティ関連の問題ではない」

 実はこの脆弱性については、別の研究者が4月にMicrosoftに報告していた。しかしMicrosoftセキュリティ対策センターからは、「これはセキュリティ関連の問題ではないと判断した」との返答が届いていたという。

 だが報道によると、それからMicrosoftがパッチを公開する6月までの間に、中国政府とつながりのあるAPT集団がこの問題を悪用していた他、米国の自治体や欧州の政府関係者、オーストラリアの通信大手などを狙った攻撃にも利用されていたことが判明。ウクライナのCERTはロシアのハッキング集団SandwormがFollinaを悪用している可能性があると伝えていた。

●Microsoftの脆弱性への対応に疑問の声

 今回の問題をきっかけに、脆弱性に対するMicrosoftの全般的な対応に疑問を投げ掛ける声も出ている。セキュリティ企業、米Tenableのアミット・ヨランCEOは「Microsoftの脆弱性対応は顧客を危険にさらす」と題したブログの中で、同社の対応は透明性が欠如していると批判した。

 「この問題はあまりに重要なので、黙っているわけにはいかないと思った。どれほど多くのセキュリティプロフェッショナルや研究者が弁護士に黙らされたり、自分の声を届けるプラットフォームを持たずにいるかは想像に難くない」とヨランCEOは言う。

 同氏によると、Tenableは3月にAzureの脆弱性2件を発見し、Microsoftに報告した。両方とも悪用可能な脆弱性だったが、Microsoftはリスクは低いと見積もり、このうち1件をひそかに修正したという。

 しかしこれに関してTenableが情報を公開すると告げたところ、Microsoftは最初の連絡から89日たって態度を変え、この問題の重大性を非公式に認めたが、顧客には今に至るまで知らせていないとヨランCEOは主張する。

 「この行動パターンは繰り返されている。脆弱性がユーザーに及ぼすリスクに関するMicrosoftの否定的な態度については複数のセキュリティ企業が記している」とヨランCEOは訴え、パッチ公開前にFollinaの危険性を指摘したセキュリティ各社のブログを例に挙げている。

 「詳しい情報がタイミング良く公開されなければ、顧客は自分たちが攻撃に対して脆弱なのかどうか、パッチが公開される前に被害に遭っていたのかどうかが全く分からない。通知がなければ、自分たちが攻撃されたかどうかの痕跡を探す機会が奪われる。極めて無責任なポリシーだ」(ヨランCEO)

 米メディアThe Recordによると、Tenableが報告したAzureの脆弱性についてMicrosoftは、脆弱性識別番号は顧客側の対応が必要な問題にのみ割り当てているが、この問題は顧客側の対応が不要だったと説明している。

 かつてMicrosoftセキュリティチームの一員で、現在はセキュリティ企業のCTOを務めるアーロン・ターナー氏は双方の立場に理解を示す。同氏はThe Recordの取材に対し、責任ある開示のルールはアップデートする必要があると指摘。PaaSやIaaSの中核技術に関しては、調査研究や責任ある開示にまつわるルールをはっきりさせる必要があると語っている。