Wikileaks、Vault7詳細情報について、開発元への開示条件を指定
Wikileaksによる「CIAの内部情報」とされるVault7ですが、そこに含まれる脆弱性関連情報について、開発元(Microsoft, Google, Apple,……)との共有に関して条件を指定している、という記事をMotherBoardが公開しています。
「Wikileaks、要求が受け入れられない限りテック企業に対してCIAゼロデイ攻撃情報を提供しない方針」
条件の内容は、「90日で開示する」という項目が含まれるとされる以外は不明です。
Wikileaks側の要求を受けている開発元の態度は、全体的に保留。その理由の1つは、今回の情報がおそらく違法な手段で入手されたものであることからくる法務上の懸念。
また、この情報はロシア政府を経由していると推測されており、それに関わる懸念もあるようです(softpediaの記事では、ロシア政府が途中で内容を書き換えて、脆弱性を直すはずがかえって作りこむようになっているかも、としています)。
ちなみにVault7の情報は、CyberScoopの記事によれば、Kasperskyの分析では「(今回、一部情報の公開を控えるための)検閲作業は、サイバースパイや運用セキュリティ、ITセキュリティ、妥協水準の策定といった分野の高度な知識をもつチーム(または個人)によって行われたものと判明した」とのこと。もっとも、それでも一部の重要な情報は漏れていたようですが。
いずれにせよ、Vault7の件が今後どのように進むかは、まだ予測が難しい状態のようです。