それなりに有名なセキュリティ対策製品であるFireEyeと、カスペルスキーに脆弱性が発見されていると、ZDnetが報じています。

FireEyeとKasperskyの製品にゼロデイ脆弱性–セキュリティ専門家が報告

セキュリティ研究者がKasperskyとFireEyeのシステムにゼロデイ脆弱性を発見したことを報告した。悪用されると顧客の安全性に影響が及ぶというものだ。

セキュリティ研究者のTavis Ormandy氏は米国時間9月5日、Kasperskyの製品に影響する脆弱性の存在を明らかにした。Ormandy氏は過去にSophosとESETの両ウイルス対策ソフトのセキュリティ脆弱性を発見した実績を持つ。氏によると、この脆弱性は「最悪」という

ここまでであれば、まあ普通の話なのだが、ここからが少し変わっている。

Tavis氏は、カスペルスキーに脆弱性の報告を送り、カスペルスキーもこれに応じてパッチをリリースした。これが通常の脆弱性報告のルートだろう。

しかし、FireEyeの脆弱性を発見したとする2人目のセキュリティ研究者であるHermansen氏の態度は少し異なる。1つの脆弱性を公開した後、かれは「残りの3つの脆弱性は有償で公開する」と述べているのだ。

FireEyeはこれに対し、「責任ある開示を」と述べているが、Hermansen氏は応じないだろう。最悪、訴訟などの争いに発展する可能性もあるが、セキュリティ製品を販売しているFireEyeは、結局はカネを払わざるをえないだろう。

あるいみこれは「脅し」であるからだ。

これからこのような事例が増える可能性も考えられる。セキュリティを売りにする企業は、常に狙われる立場なのだ。