ランド研究所がアメリカ政府のゼロデイ脆弱性取扱プロセスVEPに関するレポートを公開

アメリカのシンクタンクであるランド研究所が「Read Online To Disclose, or Not to Disclose, That Is the Question」（https://www.rand.org/pubs/rgs_dissertations/RGSDA1954-1.html）というレポートを3月11日に公開した。ハムレットの「生きるべきか、死ぬべきか、それが問題だ」のパロディですね。

●VEPとはなにか？
アメリカにはゼロデイ脆弱性の取扱プロセスVulnerabilities Equities Process (VEP) が存在する。簡単に言うと、新しいゼロデイ脆弱性について、アメリカ政府が開示／非開示を決定するプロセスである。脆弱性なら開示するのが当たり前だが、貴重な武器として使えるものだから、国家安全保障上重要と評価されたらこっそり隠して持っていようというものだ。一般的にはgovernment disclosure decision process（GPPD）と呼ばれ、EUでも推進しようとしている。

脆弱性開示プロセスを持っている国は多いが、GPPDを持っている国はオーストラリア、イギリス、カナダとアメリカの4カ国のみだ。どれも似通っている。ニュージーランドをのぞくファイブアイズのメンバーに国に存在することがわかっている。

アメリカのVEPはオバマ政権時に作られ、トランプ政権で更新されている。バイデン政権でも見直される可能性があり、その際は中国の新しいサイバーセキュリティ規制やロシアなどを念頭に改正されるだろう。

Vulnerabilities Equities Policy and Process for the United States Government
https://trumpwhitehouse.archives.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF

VEPはその性格上、外部からわからないことが多い。他の同種のものに比べてもきわめて情報が限られている。実は今回の報告書で私がもっとも期待したのは、VEPの内容が少しでも明らかになることだった。

一般的には脆弱性は早期にベンダーに報告し、対処方法が確立したら速やかに公開するのがよいこととされているが、たとえばスマホを例に取るとアメリカはそうはできないことがよくわかる。スマホのOSはグーグルとアップルが寡占している。そこでアメリカ政府が見つかった脆弱性を速やかに対処して公開する一方で、中国やロシアあるいはゼロデイ脆弱性を販売する民間企業が独自に発見して秘匿していたら不利になる。
もちろん、たくさんの脆弱性を見つければ中国やロシア、民間企業が独自に発見したものも見つけて早く対処できるかもしれないが、そうならない可能性は高い。
世界的に普及している製品をたくさん持つアメリカだからこそ、ゼロデイ脆弱性の秘匿が重要な意味を持ってくる。

●VEPの基本
VEPはアメリカのインフラや経済などにおける優先すべき利益がある脆弱性に適用される。その決定をくだすEquities Review Board (ERB)の参加メンバーは、下記である。

常任メンバー
・行政管理予算局（OMB: Office of Management and Budget）
・国家情報長官室
・セキュリティ・コーディネーション・センター(IC-SCC)
・財務省
・国務省
・司法省（連邦捜査局、全米捜査局を含む）
・サイバー捜査統合任務部隊(NCIJTF)
・国土安全保障省
・通信統合センター（NCCIC）および米国シークレット・サービス（United States Secret Serviceを含む)
・エネルギー省
・国防総省（DoD）（国家安全保障局NSA、サイバーコマンド、DC3などを含む)
・商務省
・中央情報局（CIA）

また、非常任メンバーも存在する。
メンバーには、毎月の会議に参加して判断を下すことと、ゼロデイ脆弱性に関する連絡窓口や調整を関係機関と行うことになっている。中心となるのはNSAで、VEP Executive Secretariatと呼ばれる。
VEPは年次報告書を作成することになっている。
VEPは法制化されておらず、活動内容はこれまでほとんど開示されてこなかった。メディアに取り上げられて、批判されることもあったが、それは詳細をわからずに公開されている範囲の情報を元に行われていたものばかりだった。

●GPPDを持たない国
VEPのような仕組みがない国でも政府機関がゼロデイ脆弱性を保有していることは多い。ゼロデイ脆弱性を販売している企業が、公に、「政府機関や法執行機関のみを顧客とする」と発言していることからもうかがえる。

中国の場合、中国国家安全部の脆弱性データベース（CNNVD）は、脆弱性が明らかになってから平均13日で内容を公開しているが。脅威度の高い脆弱性はかなり遅れて公開している。また、APT攻撃に使用されていた例もあった。これらのことから中国政府が意図的にゼロデイ脆弱性の公開時期をコントロールしていることが推測できる。

The Dragon Is Winning: U.S. Lags Behind Chinese Vulnerability Reporting
https://www.recordedfuture.com/chinese-vulnerability-reporting/

China’s Ministry of State Security Likely Influences National Network Vulnerability Publications
https://www.recordedfuture.com/chinese-mss-vulnerability-influence/

●レポートで新しくわかったこと
レポートをしたランド研究所は政府と近いとはいえ、政府機関そのものではない。そのためVEPの内部情報は得ていなかった。そこで関係者19人にインタビューを行い、そこからVEPについての情報を得、検証を行った後に改善提案を提示している。

新しくわかったことは下記の通り。
・現在のメンバーは諜報機関と法執行機関が中心でプロセスへの影響力を持っている。民間企業や国民を代表するメンバーはほとんどいない。そのため、決定において、民間企業や国民へのリスクが充分に評価されていない可能性が高い。

・年次報告書には開示されるものと、非開示のものがある。非開示の報告書は作られていないようだ。そして開示される報告書は議会に提出されているらしいが、それ以外には公開されていない。

・VEPはBug Bountyプログラムからの脆弱性は対象にしていないようだった。Bug Bountyはバグ発見者に対して報奨金を与えるもので広く普及している。そのためのプラットフォームHackerOneなどのプラットフォームが存在し、莫大なバグが集まるようになっている。すでにいくつかのアメリカ政府機関はこうしたプラットフォームと提携している。

・外部から購入したゼロデイ脆弱性については対象外になるようだ。

・VEPには法的強制力がないため、2008 年から 2012 年、2013 年頃まで休眠状態となっていた。いまのところ、あまり有効に働いていない印象がする。

●レポートの改善提言
この点はアメリカのVEPにフォーカスしているので、関心ある方は少なそうだし、私のあまり関心ないので項目をあげるに留める。

1.大統領令または国家安全保障メモを通じて、VEPに強制力と説明責任を与える。
2.開示・非開示の年次報告書を作成する。
3.非常任メンバーに民間企業と消費者の代表を入れる。
4.国際的なパートナーシップや国際社会への影響力を考慮した内容に改変する。
5.判断にあたっての基準を明確に定義する。
6.メンバーへの情法提供を充分にし、会議前の検討や判断を適切にできるようにする。
7.ゼロデイ脆弱性への対応を支援するためのプロセスを用意する。
8.倫理的枠組みを作る。
9.VEPとは別にゼロデイ脆弱性とエクスプロイトの購入に焦点を当てた追加的な方針を設ける。
10.VEPはソフトウェアの脆弱性のみに焦点をあて、それ以上のことは行わない。
11.他国にも参加させ、プロセスを共有する。

●感想
どう考えても、Bug Bountyプラットフォームや外部からの購入もプロセスに含まないと有効ではないと思うが、なぜやらないのだろう？　Bug Bountyプラットフォームにはそうとうの脆弱性が集まっており、中国も独自のプラットフォームを立ち上げて、中国の個人と企業はまずそこに報告するよう定めて対抗しているくらいだ。ゼロデイ脆弱性は、強力な兵器の材料なので安全保障上、他国に渡るのを防ぎたいのだ。

『サイバーセキュリティ: 組織を脅威から守る戦略・人材・インテリジェンス』（松原実穂子、新潮社、2019年11月20日）

『犯罪「事前」捜査』（一田和樹、江添佳代子、角川新書2017年8月10日）