より安全なウェブをめざして活動を行うグーグルの専門チーム「Project Zero」が新たに結成された。
グーグルは悪意のある攻撃者(これには国家安全保障局も含まれる)による、コンピューターへの感染や個人情報の盗出を目的としたソフトウェア・バグの開発行為をより困難なものにしようと考えている。
火曜日、グーグルは社内の専門チーム「Project Zero」の設置を発表した。このチームは、これまで発見されず今だ有効な対応策が存在していないセキュリティー・ホール「ゼロデイ脆弱性」を利用したターゲット型攻撃による被害を撲滅するための仕事に取り組むことになる。
なぜグーグルはこの取組みを発表したのだろう?それはこのProject Zeroのメンバーを募集するためだ。
現在グーグルはソフトウェア脆弱性の発見と悪意のある攻撃者の動機を研究し理解するため、このチームのメンバーとなるセキュリティ専門家を探している。グーグルが具体的に何人の専門家を新たに採用予定であるかは明らかではない。だが同社ではすでに多くの人々がこういったセキュリティ問題に取り組んでいる。
この仕事に興味をもち採用されたハッカーは、自称「セキュリティ・プリンセス」パリサ・タブリーズ(Chromeブラウザ上のセキュリティ・エンジニアのチームリーダー)や、ニール・メータ(Heartbleedバグの発見を支援した人物)などのメンバーと一緒に働くことになる。
「Heartbleed」は、これまで発見されたオープンソース・ソフトウェアの脆弱性の中で最も有害なものの1つだ。この脆弱性では、広く用いられているセキュリティソフト・モジュール「OpenSSL」の欠陥により、2年間に渡ってウェブ全体の実に3分の2が外部から盗聴される危険に晒され続けていた。
Project Zeroは多くの人々に利用されているソフトウェアのセキュリティの改善と、それらの脆弱性を攻撃するためにハッカーが使用している技術の研究にも取り組むことになる。またグーグルは、Project Zeroはソフトウェア・ベンダーにバグを報告し、そして(可能なパッチが用意された後)そのバグが一旦公になれば、その情報は(そのバグを改修するのにどのくらいの時間がかかったかを含めて)人々が特定の脆弱性に関する理解を高めることになるだろうと語っている。
今回の発表でそれほど強調されなかったが、グーグルは脅威としての「国家支援の関与者」の存在についても言及している。グーグルは、同社のシステムが中国軍の分子からサポートされている可能性のある中国人ハッカーによってターゲットにされたと以前語っている。また過去にNSAの職員だったエドワード・スノーデンは、米国の情報局がGmailその他のグーグル・サービスをターゲットとしていたことを明らかにしている。Project Zeroは、犯罪者のハッカーと同様にそういった脅威に対する防御も行っていく予定だ。
トップ画像提供:Alexandre Dulaunoy
Selena Larson
[原文]
※本記事はReadWrite Japanからの転載です。転載元はこちら
