世界でも厳重に管理されるゼロディの脆弱性

　脆弱性の内容によって公開、非公開の区別が行われているのは中国に限らない。 　米国連邦政府では、脆弱性公平化プロセス（VEP:Vulnerabilities Equities Process）と呼ぶ制度がある。VEPは、ゼロディの脆弱性を公開するかしないかについてケースバイケースで決定するプロセスをいう。 　政府の敵対者の攻撃に使用するために一時的に秘密にしておく、すなわち政府が脆弱性に関する情報の公開を保留することが許されているのである。VEPは、09年ごろに導入され、秘密裏に運用されていたが、「シャドウ・ブローカーズ（Shadow Brokers）事件」がきっかけで17年11月に一般に公開されることとなった。 　「シャドウ・ブローカーズ事件」とは、16年の夏に、はじめて姿を現したハッカー集団「シャドウ・ブローカーズ」が、米国家安全保障局（NSA）から「シスコシステムズやジュニパーネットワークスといった米大手通信機器メーカーのファイアウォール製品に侵入可能なツールを入手した」とする犯行声明を出した事件である。 　犯行声明から数日後に、シスコシステムズは、ファイアウォールに見つかった脆弱性を修正するプログラムを発表したことから、犯行声明を裏付けるものとされた。

　さらに、07年から10年にかけてイランの核施設攻撃に使用されたコンピュータウイルス「スタックスネット（Stuxnet）」を開発した世界で最も高度なハッキンググループといわれる「イクエーショングループ（The Equation Group）」とNSAが同一の集団ではないのかという疑惑がもたらされた。ロシアのセキュリティ企業「カスペルスキー」がイクエーショングループを継続的に監視していたのだが、公開されたツールのコード（プログラム）の中にシャドウ・ブローカーズがNSAから入手したとされる大手通信機器メーカーのファイアウォールに侵入可能なツールに見られるある特殊な数列が使用されていたからだ。「スタックスネット」にも4つものゼロディの脆弱性が利用されていたことや元NSA職員の証言からもNSAがゼロデイの脆弱性を秘匿している可能性が高いとされた。 　欧州連合（EU）でもVEPと同様のGDDP（Government Disclosure Decision Process）と呼ばれている制度がある。先進国では、脆弱性の管理は国家の重要な資産であるとの認識の元、厳重な管理が行われている。 　一方、日本での脆弱性の管理は、経済産業省の政策実施機関である情報処理推進機構（IPA）が取りまとめを行い「Japan Vulnerability Notes（JVN）」として公開を行っている。しかし、もとより脆弱性情報をサイバー攻撃やアクティブディフェンスに利用しようなどという法律の立て付けもなく、ひたすらサイバー空間の安全性を高めるための行為として行われているだけであるのはいうまでもない。 　OSやセキュリティソフトの分野では日本は出遅れたと言わざるを得ない。IoTの分野では一日の長がある日本でも、VEPと同様の法整備が必要だろう。