［世界］
ノキア、Series 40の脆弱性の存在を認める

専門家の指摘で明らかに――情報提供料の支払いについては明言を避ける

（2008年08月22日）

Adam Gowdiak（アダム・ゴーディアック）氏がCEOを務めるSecurity ExplorationsのWebページ

　フィンランドのNokiaは8月21日、同社の携帯電話プラットフォーム「Series 40」に脆弱性が存在することを認めた。

　同脆弱性は、セキュリティ調査会社の米国Security ExplorationsでCEOを務めるAdam Gowdiak（アダム・ゴーディアック）氏が発見した。Nokiaはゴーディアック氏が要求している2万9,500ドル（同脆弱性を調査するのに費やした6カ月ぶんの対価）を支払ったかどうかについては明言を避けている。

　ゴーディアック氏も、支払いが行われたかどうかは明らかにしていない。ただし同氏は、「信頼できる企業が対価を払えば、180ページに及ぶ1万4,000行の概念コード（proof-of-concept code）を提供する」とコメントしている。なお、Nokiaで広報を務めるMark Durrant（マーク・デュラント）氏は、同社がゴーディアック氏の調査レポート全文を入手していることを認めている。

　ゴーディアック氏によると、同氏は今年8月初頭、Series 40だけでなく、携帯電話向けアプリケーション実行環境である「Java 2 Micro Edition（J2ME）」の脆弱性も発見したという。ちなみに同氏は以前、Javaの開発元である米国Sun Microsystemsで働いていた経験がある。

　Nokiaは、Series 40ベースの一部の製品に、攻撃者によってアプリケーションをインストールされる脆弱性があると説明する。また、J2MEの複数の初期バージョンでは、権限の昇格をはじめ、制限されるべき携帯電話機能が利用可能になるおそれもあるという。

　ただしデュラント氏は、「Series 40の脆弱性に対する攻撃は確認されておらず、これらの脆弱性は重大な危険をもたらすものではない。また、同脆弱性はまだ一般に公表されておらず、それらを利用した攻撃を実行するのは難しい」とコメントしている。

　「実際、同脆弱性を攻撃するにはかなりの技術スキルが必要だ。一般人が数時間で考えられるようなものではない。同脆弱性に対する攻撃を発見したゴーディアック氏は天才だ」（デュラント氏）

　ゴーディアック氏は8月7日、SunとNokiaに対し、発見した脆弱性を2ページに要約して提出した。これに対しSunは、近日中にパッチを提供する意向を明らかにしたという。

　今回のゴーディアック氏の要求と、それに対するNokiaの姿勢は、セキュリティ専門家の間で波紋を広げている。かねてより業界では、自発的な調査で発見された脆弱性に対し、（製品に脆弱性が発見された）ベンダーは報酬を支払うべきかどうかについて議論されてきた。

　多くのベンダーは、「脆弱性を発見したら一般公開せず、まずはベンダーに知らせてほしい」と呼びかけている。

　ベンダーは通常、脆弱性情報を提供してきた研究者に、情報の対価を支払うことを避けている。それは脆弱性の発見が“商売”になった場合、「対価を支払わなければ情報をハッカーに公開する」という脅迫につながりかねないからだ。

　デュラント氏は、「脆弱性情報に対して対価を支払うことは、会社の評判を人質にすることになりかねない。しかし今回の件に関して言えば、ゴーディアック氏はかなり詳しい調査を行っている。同氏がその対価を要求する気持ちは大いに理解できる」と語っている。

　一方、ゴーディアック氏は、「こちらがSunやNokiaに金を要求したと思われるのは心外だ。両社を脅迫した覚えはない」とコメントしている。

(Jeremy Kirk／IDG News Serviceロンドン支局)