報道によれば、ロシアのセキュリティ企業Kaspersky Labはブログと傘下のニュースサービスで、「Internet Explorer(IE)の未修正の脆弱性について米大手セキュリティ・ベンダーのMcAfeeが公表した情報をもとに、イスラエルの研究者がこの脆弱性を突いたコンセプト実証(PoC)コードを作成した。」と伝えた。
McAfeeはMicrosoftがセキュリティアドバイザリーを公開した3月9日、この脆弱性を突いた攻撃に使われているドメインやファイル名などをブログで公表している。
“イスラエルの研究者がこの情報をもとにホストを調べ、エクスプロイトを見つけて、どんな脆弱性が悪用されているのかを突き止めてしまった”という。
「これにより、今までは限られた標的を狙ったターゲット型にとどまっていた攻撃が、広範に拡大する恐れが出てきた。」とKasperskyは指摘している。
「McAfeeが公表したような情報はIDS(侵入検知)シグネチャの作成やウイルス対策研究の役に立つため、ブログで公表するのは理にかなっているように思えるが、どこまで公表するのが安全かという問題がつきまとう。」とKasperskyは解説している。
「未修正の脆弱性悪用コードをホスティングしているドメインがまだ機能している場合は、そのURLやファイル名は公にしない方がいい。」とKasperskyは提案している。
実際、情報は“どこまで公表するのか?”が重要な事であり、ブログやWebサイトで情報を公開する場合は非常に神経を使う。
それだけに、ブログやWebサイトで書いた内容には“責任”の2文字があることを忘れてはならないのである。