はじめに:重複するCVE報告を巡る対立
サイバーセキュリティ業界で、脆弱性報告の功績を巡る激しい論争が勃発しています。FuzzingLabsは、Y Combinatorが出資するスタートアップであるGecko Securityが、同社が以前に開示した脆弱性情報を複製し、ブログ記事を遡及的に日付変更したと非難しています。FuzzingLabsによると、GeckoはFuzzingLabsが既に開示していた2つの脆弱性についてCVEを申請し、さらには「PoC(概念実証コード)をコピーし、再提出して功績を奪った」と主張しています。これに対し、Gecko Securityは不正行為を否定し、開示プロセスに関する誤解であると説明しています。
FuzzingLabsの主張:PoCの盗用とブログの遡及変更
FuzzingLabsはソーシャルメディア上で、「彼らは我々のPoCをコピーし、CVE IDを主張し、さらにはブログ記事を遡及的に日付変更した」と強く訴えています。同社は、この問題が単に2つのCVEに関するものではなく、「セキュリティ研究における誠実さ」に関わることだと強調しています。FuzzingLabsは責任ある開示プロセスに従っていると述べ、Geckoが「我々の公開報告を待ち、PoCをコピーし、再提出して功績を奪った」と主張しています。
FuzzingLabsが言及している脆弱性は以下の通りです。
- Ollama (ollama/ollama) サーバー認証トークン窃取の脆弱性: 2024年12月24日に最初の報告が提出され、後にCVE-2025-51471が割り当てられました。
- Gradio (gradio-app/gradio) フラグメカニズムを介した任意のファイルコピーおよびサービス拒否 (DoS): 2025年1月16日に最初の報告が提出され、後にCVE-2025-48889が割り当てられました。
FuzzingLabsは、Geckoが提出したプルリクエスト(PRs)が「我々の正当なHuntr報告が公開された後に作成された」ことを突き止め、一部の脆弱性には、元のhunter.dev報告からのものとGeckoが提出したPRからのものの、複数のCVE IDが存在すると主張しています。さらに、FuzzingLabsは、Geckoがブログ記事を遡及的に日付変更し、実際の開示よりも古く見せかけたと主張しています。同社はまた、盗用を特定するために意図的に挿入した「独自のフィンガープリント」がGeckoの悪用コードに「行ごとにコピーされていた」ため、Geckoが彼らのエクスプロイトをコピーしたという「議論の余地のない証拠」を持っていると述べています。
FuzzingLabsは、「我々だけでなく、彼らのウェブサイトにある少なくとも7つの脆弱性が他の研究者から盗用されたものと思われる」と付け加えています。GitHubは、FuzzingLabsの元の報告に功績を与えるように一部のアドバイザリを修正したと報じられています。
Gecko Securityの反論:誤解とプロセスの違い
Gecko Securityは、FuzzingLabsの研究者であるMohammed BenhelliとPatrick Ventuzeloに功績を与えるように以前のブログ記事を編集し、公開日を更新しました。Geckoは、この状況を意図的な盗用ではなく、不運な重複であると特徴づけています。同社は、サードパーティのプラットフォームを介するのではなく、プロジェクトのメンテナーと直接連携するワークフローを強調しています。
Geckoはソーシャルメディアでの非難に対し、「競合製品を立ち上げた後、事前に連絡することなく公に非難されたことに失望している。我々はバウンティプラットフォームではなく、GitHubを介してメンテナーと直接協力している。当時、我々もメンテナーもあなたのHuntr報告を知らなかった。もし知っていれば、重複としてマークされていたはずだ。あなたの発見が先だった2つのCVEについては、FuzzingLabsに公に功績を与えている。我々よりも先に発見した人には常に喜んで功績を与える。盗用されたCVEに関する主張は、あなたが提供した多くのリンクがHuntrで既に『重複』または『無効』とマークされていたことを考えると、成り立たない」と簡潔に反論しました。
業界の課題と今後の展望
セキュリティコミュニティの一部はGeckoの説明に疑問を呈しており、また一部は、特にCISAのCVEプログラムの将来に不確実性が漂う中、重複する脆弱性報告のトリアージにおけるより広範な課題を指摘しています。
FuzzingLabsのPatrick Ventuzeloは、BleepingComputerへのメールで、同社がソーシャルメディアで既に概説した内容の多くを改めて述べ、Geckoが投稿後に更新を行ったことを歓迎しました。しかし、Ventuzeloは、「元の出来事の順序…そして遡及的に日付変更されたブログ記事は、彼らのプロセス全体についてより広範な懸念を引き起こす」と述べ、「彼らはこれらのケースを『重複』と呼んでいるが、同一のPoCと我々が独自に挿入した独自のマーカーがあることは、その説明と直接矛盾する」と付け加えました。
この論争は、複数の研究者や企業が異なるプラットフォームで同様の欠陥を独立して特定したり、ウェブから脆弱性データを取り込んだりする場合に、責任ある脆弱性開示における功績と調整の微妙な側面を浮き彫りにしています。