IBM、自社製品の脆弱性実証コードを非開示にするようセキュリティ研究者に要求

　IBMが、自社製品の脆弱性の実証コードを公開した研究者に指示を出していたことが明らかになった。IBMもこれを認めている。

　Maurizio Agazzini氏はIBMと連携し、IBMの製品が関連する脆弱性に関して責任ある開示を行った。開示した脆弱性はCVE-2016-5983で、「IBM WebSphere」のバージョン7、8、8.5、9が影響を受ける。だがAgazzini氏は、脆弱性を修正するパッチが顧客にリリースされた後、内容の一部を削除するようIBMより指示を受けた。

　Agazzini氏は先週、脆弱性を開示した際、開示した内容の一部に実証コードパッケージへのリンクを入れていた。このセキュリティ欠陥を解決するためにIBMと2カ月間連携した後にリリースされたものだ。

　だが、IBMはAgazzini氏の考えを良しとせず、実証コードの詳細を削除してリリースするよう要求した。

　Agazzini氏の同僚の1人が、Agazzini氏に送られたメールのコピーをTwitterに投稿し、IBMの要求内容を明らかにした。

IBMの要求内容。Agazzini氏の同僚がTwitterで公開した。

　弁護士を呼んで訴訟の準備をするほどのことはないかもしれない。だが、Agazzini氏はIBMと協業して脆弱性などの問題を修正し、顧客にソリューションが導入された後に開示したということを考えると、高圧的といってよいだろう。

　IBMの要求を受け、セクション5のパッケージ化された実証コードは削除された。一方で、セクション2は残っており、その内容は以下のようなものだ。

　攻撃は以下の手順で再現できる。

• カスタム形式の認証にてアプリケーションを構築する。
• ログイン後、アプリケーションサーバによってLtpaToken2が設定される。
• WASPostParamクッキーを含むHTTP GETリクエストを行う。

　一方で、アドバイザリには自身で実証コードを書くのに十分な情報が現在も含まれている。IBMはThe Register宛ての声明で次のようにコメントしている。

パッチは公開されているものの、すぐにパッチを適用できない企業が多数あることをわれわれは認識している。

IBMは通常このようなやり方をしないが、この特別なケースでは、脆弱な状態にあるユーザーを保護し、ユーザーがパッチをあてる時間を取るために、実証コードの詳細の一部を編集するよう求めた。