2 つのセキュリティ企業間の争いは、特に人気製品が関係する場合、ソフトウェアの脆弱性の報告がいかに敏感なものになり得るかを示している。
FireEyeとドイツのコンサルティング会社ERNWの間の騒動は、ERNWの研究者が今年初めにFireEyeのマルウェア防御システム(MPS)に5つのソフトウェア欠陥を発見したことから始まった。
ERNWが公開した勧告によると、研究者フェリックス・ウィルヘルム氏が発見した欠陥の1つは、ホストシステムへのアクセスに悪用される可能性があるという。
業界の慣例に従い、ERNW は 4 月初旬に FireEye に連絡し、問題の詳細を伝えました。
ERNWは90日間の情報開示期間後に勧告を発表する予定だと、同社の創設者であるエンノ・レイ氏は木曜日のブログ投稿で述べた。しかし、その後数ヶ月で両社の関係は緊張した。
ERNWの提案した通知書を審査したFireEyeは、MPS製品の内部の仕組みに関する技術的な詳細が多すぎると主張したとレイ氏は書いている。
ERNWは脆弱性がどのようなリスクをもたらすかを理解するために詳細が必要だと感じていたが、同社はその詳細を勧告から削除したとレイ氏は書いている。
レイ氏は、8月5日にラスベガスで行われた直接会談で、両社が開示文書の草案について合意に達したようだと記した。
しかし、レイ氏の記述によると、約1日後、ファイア・アイはERNWに対し、同社の知的財産の開示に焦点を当てた停止命令書を送付した。この命令書は、前日に両当事者間で合意に至らなかったと主張していた。
ERNWが書面で回答する前に、FireEyeは8月13日にハンブルクの地方裁判所から差し止め命令を取得した。
ウィルヘルム氏は木曜日、ロンドンで開催された44CONカンファレンスで調査結果を発表しました。彼はスライド資料を公開しましたが、FireEyeの技術に関する一部の情報は、差し止め命令に従うため編集されています。
スクリーンショット ERNW 研究者フェリックス・ウィルヘルム氏がロンドンで開催された 44CON カンファレンスで発表したスライドが、ドイツの裁判所の命令に従って編集されました。
8月5日に両社が解決に至ったと見られていたことを考えると、この問題が法廷に持ち込まれることは予想外だったとレイ氏は書いている。
「彼ら側の意図については推測することしかできません」と彼は書いている。「一般的に、セキュリティの脆弱性を責任を持って報告している研究者を訴えるのは不適切な戦略だと考えています。」
ファイア・アイはERNWが脆弱性について公に議論することを阻止するつもりはなかったと、同社のグローバルコミュニケーション担当副社長、ビトール・C・デ・ソウザ氏は電子メールで述べた。
しかし、「事業と顧客を危険にさらすような専有情報を公開するつもりはありませんでした」と彼は記している。「ドイツの法律では、彼らには自社のものではない知的財産を公開することは許されていませんでした。」
FireEyeは9月8日、同社が以前にパッチを適用した脆弱性について説明する通知を出した。ベンダーに通知してからパッチが発行されるまでのタイムラインを記載するのが通例だが、FireEyeの通知にはそれが含まれなかった。
