サイバーニュース.jp

世界のサイバーなニュースを配信

セキュリティ企業間でCVEクレジットを巡る論争:重複する脆弱性報告が問題に

カテゴリ:

, , , , , , , , ,

はじめに

セキュリティ業界で、脆弱性報告におけるCVE(共通脆弱性識別子)クレジットの帰属を巡る論争が勃発しています。サイバーセキュリティ企業FuzzingLabsは、Y Combinatorが出資するスタートアップ企業Gecko Securityが、自社の脆弱性開示を複製し、ブログ投稿を遡及的に日付変更したと非難しています。FuzzingLabsによると、GeckoはFuzzingLabsが以前に開示した2つの脆弱性についてCVEを申請し、さらには「PoC(概念実証)をコピーし、再提出してクレジットを奪った」とされています。

これに対し、Gecko Securityは一切の不正行為を否定し、今回の疑惑は開示プロセスに関する誤解であると主張しています。

FuzzingLabsの主張:PoCのコピーとブログの遡及的日付変更

FuzzingLabsはソーシャルメディア上で、「彼らは私たちのPoCをコピーし、CVE IDを主張し、さらにはブログ投稿を遡及的に日付変更した」と強く訴えています。同社は、これが単に2つのCVEに関する問題ではなく、「セキュリティ研究における誠実さ」に関わる問題であると強調しています。

FuzzingLabsが言及している脆弱性は以下の通りです:

  • Ollama (ollama/ollama) サーバー認証トークン窃取の脆弱性: FuzzingLabsが2024年12月24日に報告。後にCVE-2025-51471が割り当てられました。
  • Gradio (gradio-app/gradio) フラグメカニズムを介した任意のファイルコピーおよびサービス拒否 (DoS): FuzzingLabsが2025年1月16日に報告。後にCVE-2025-48889が割り当てられました。

FuzzingLabsの調査では、Geckoが提出したプルリクエスト(PR)が「私たちの正当なHuntrレポートが公開された後に作成された」ことが判明したとされています。また、一部の脆弱性には、FuzzingLabsの元のhunter.devレポートからのものと、Geckoが提出したPRからのものの、複数のCVE IDが存在すると指摘しています。

さらに、FuzzingLabsは、Geckoがブログ投稿を遡及的に日付変更し、実際の開示よりも古く見せかけたと主張しています。同社は、盗用を特定するために「意図的に挿入した独自のフィンガープリント」がPoCに含まれており、「彼らが私たちのエクスプロイトを逐語的にコピーした揺るぎない証拠」があるとも述べています。FuzzingLabsは、Geckoのウェブサイトにある少なくとも7つの脆弱性が他の研究者から盗用されたものであると付け加えています。

この論争を受け、GitHubは一部のアドバイザリを更新し、FuzzingLabsの元の報告にクレジットを付与しています。

Gecko Securityの反論と対応

Gecko Securityは、疑惑を否定し、状況を意図的な盗用ではなく「不運な重複」であると説明しています。同社は、自社のワークフローがサードパーティのプラットフォームではなく、プロジェクトのメンテナーと直接連携することを含んでいると強調しています。

ソーシャルメディアでの批判に対し、Geckoは「競合製品を立ち上げた後に、まず連絡を取らずに公の場で非難されるのは残念だ。私たちはバウンティプラットフォームではなく、GitHubを介してメンテナーと直接協力している。当時、私たちもメンテナーもあなたのHuntrレポートを知らなかった。もし知っていれば、重複としてマークされていたはずだ。あなたの発見が先行していた2つのCVEについては、FuzzingLabsに公にクレジットを付与しており、私たちよりも先に発見した人には常に喜んでクレジットを付与する。あなたが提供した多くのリンクがHuntrで既に『重複』または『無効』とマークされていたことを考えると、盗用されたCVEに関する主張は成り立たない」と回答しています。

Geckoはその後、以前のブログ投稿を編集し、FuzzingLabsの研究者であるMohammed Benhelli氏とPatrick Ventuzelo氏にクレジットを付与し、公開日を更新しています。

論争の背景と業界への影響

セキュリティコミュニティの一部からは、Geckoの説明に疑問の声が上がっており、また、CISAのCVEプログラムの将来に不確実性が漂う中、重複する脆弱性報告のトリアージにおける広範な課題を指摘する声もあります。

FuzzingLabsのPatrick Ventuzelo氏は、BleepingComputerへのメールで、Geckoの更新は歓迎するものの、「元の出来事の順序…そして遡及的に日付変更されたブログエントリは、彼らのプロセス全体についてより広範な懸念を引き起こす」と述べています。彼は、「同一のPoCと、私たちが独自に挿入した独自のマーカーが存在するという事実は、その物語と直接衝突する」と付け加えています。

この出来事は、複数の研究者や企業が異なるプラットフォームで同様の欠陥を独立して特定したり、ウェブから脆弱性データを取り込んだりする場合に、責任ある脆弱性開示におけるクレジットと調整の微妙な側面を浮き彫りにしています。

元記事: https://www.bleepingcomputer.com/news/security/security-firms-debate-cve-credit-in-overlapping-vulnerability-reports/

投稿をさらに読み込む