サイバーニュース.jp

世界のサイバーなニュースを配信

セキュリティ企業間でCVE報告の功績を巡る論争が勃発

カテゴリ:

, , , , , , , , ,

論争の背景:FuzzingLabsとGecko Security

サイバーセキュリティ企業であるFuzzingLabsが、Y Combinatorの支援を受けるスタートアップ企業Gecko Securityに対し、脆弱性開示の複製とブログ記事の遡及日付設定を巡る疑惑を提起し、両社間で公の論争が勃発しています。FuzzingLabsは、Geckoが以前に同社が開示した2つの脆弱性についてCVEを申請し、さらには「PoC(概念実証)をコピーし、再提出して功績を奪った」と主張しています。これに対しGecko Securityは、開示プロセスに関する誤解であるとして、一切の不正行為を否定しています。

FuzzingLabsの主張:PoCの盗用とブログの遡及

FuzzingLabsはソーシャルメディア上で、「彼らは私たちのPoCをコピーし、CVE IDを主張し、さらにはブログ記事を遡及日付で公開した」と強く非難しています。同社はこれを「単に2つのCVEの問題ではなく、セキュリティ研究における誠実さの問題」と位置づけています。FuzzingLabsは、Geckoが同社の公開レポートを待ち、PoCをコピーして再提出し、功績を奪ったと主張しています。

FuzzingLabsの調査によると、Geckoが提出したプルリクエスト(PR)は「私たちの正当なHuntrレポートが公開された後に作成された」ものであり、一部の脆弱性には、FuzzingLabsの元のhunter.devレポートからのものと、Geckoが提出したPRからのものの、複数のCVE IDが存在すると指摘しています。さらに、Geckoがブログ記事を遡及日付で公開し、実際の開示よりも古く見せかけたと主張しています。FuzzingLabsは、PoCに「意図的に挿入した独自のフィンガープリント」が含まれており、これによりGeckoが同社のエクスプロイトを「行ごとにコピーした」という「議論の余地のない証拠」を持っていると述べています。また、同社のウェブサイトに掲載されている少なくとも7つの脆弱性が他の研究者から盗用されたものであるとも主張しています。

対象となった脆弱性

FuzzingLabsが言及している脆弱性は以下の通りです。

  • Ollama (ollama/ollama) サーバー認証トークン窃取の脆弱性: 2024年12月24日に元のレポートが提出され、後にCVE-2025-51471が割り当てられました。
  • Gradio (gradio-app/gradio) フラグメカニズムを介した任意のファイルコピーおよびサービス拒否 (DoS): 2025年1月16日に元のレポートが提出され、後にCVE-2025-48889が割り当てられました。

FuzzingLabsは、AIを活用した攻撃的セキュリティおよびファジングのためのオープンソースツール(最も著名なのはFuzzForge)を開発している研究志向のサイバーセキュリティ企業です。一方、Geckoは「コードベースのAIセキュリティエンジニア」として、コードベース内のセキュリティ脆弱性を発見し修正する手助けをすると謳っています。

Gecko Securityの反論と対応

Gecko Securityは、FuzzingLabsの研究者であるMohammed Benhelli氏とPatrick Ventuzelo氏に功績を帰するよう、以前のブログ記事を編集し、公開日を更新しました。Geckoは、この状況を意図的な盗用ではなく、不運な重複であると特徴づけており、同社のワークフローはサードパーティのプラットフォームを介するのではなく、プロジェクトのメンテナーと直接調整することを含んでいると強調しています。

ソーシャルメディアでの非難に対し、Geckoは簡潔に「競合製品を立ち上げた後にもかかわらず、事前に連絡することなく公に非難されたことに失望している。私たちはバウンティプラットフォームではなく、GitHubを介してメンテナーと直接協力している。当時、私たちもメンテナーもあなたのHuntrレポートを知らなかった。もし知っていれば、重複としてマークされていたはずだ。あなたの発見が先行していた2つのCVEについては、FuzzingLabsに公に功績を認めた。私たちは、私たちよりも先に発見した人には常に喜んで功績を認める。あなたが提供した多くのリンクがHuntrで既に『重複』または『無効』とマークされていたことを考えると、CVE盗用に関する主張は成り立たない」と反論しました。

セキュリティ業界への影響

GitHubは、FuzzingLabsの元のレポートに功績を認めるよう、一部のアドバイザリを更新したようです。セキュリティコミュニティの一部メンバーはGeckoの説明に疑問を呈しましたが、他のメンバーは、特にCISAのCVEプログラムの将来に不確実性が漂う中、重複する脆弱性レポートのトリアージにおける広範な課題を指摘しました。

BleepingComputerが両社に追加の質問をしましたが、Geckoからは返答がありませんでした。FuzzingLabsのPatrick Ventuzelo氏は、BleepingComputerへのメールで、同社がソーシャルメディアで概説した内容の多くを改めて述べ、Geckoが投稿後に更新したことを歓迎しました。しかし、Ventuzelo氏は「元の出来事の順序…そして遡及日付のブログ記事は、彼らのプロセス全体についてより広範な懸念を引き起こす」と述べ、「彼らはこれらのケースを『重複』と呼んでいるが、同一のPoCと私たちが独自に挿入したユニークなマーカーがあることは、その説明と直接矛盾する」と付け加えました。

この進展は、複数の研究者や企業が異なるプラットフォームで、あるいはウェブから脆弱性データを取り込む際に、同様の欠陥を独立して特定する可能性がある場合、責任ある脆弱性開示における功績と調整のニュアンスを浮き彫りにしています。

元記事: https://www.bleepingcomputer.com/news/security/security-firms-dispute-credit-for-overlapping-cve-reports/

投稿をさらに読み込む