Bugtraq

Bugtraq（バグトラック）は、コンピュータセキュリティに関するメーリングリストである。脆弱性に関する議論（攻撃方法やそのexploit、回避方法や解決方法も含まれる）、脆弱性を持つ製品情報などが主な議題として挙げられる。

歴史

1993年11月5日にScott Chasinによって創設され、1996年5月14日にAleph One（en）が管理を引き継いで今に至る。

創設当時、脆弱性に関して議論可能な場には「firewall」メーリングリストがあったが、脆弱性に関する話題は議論の主題ではなく、exploitコードの投稿が避けられる場であった。その他には、Bugtraqよりも5年前、1988年に設立されたCERT/CCがあった。CERT/CCの設立目的の一つに「セキュリティ脆弱性の認定、修復する研究者コミュニティの中心となること」というものがあったが、当時のCERT/CCは単に脆弱性報告の場でしかなかった。Aleph Oneは当時のCERT/CCのことを以下の様に批判している。

• CERTは、「セキュリティ脆弱性の認定、修復する研究者コミュニティの中心となる」ことを目的の一つとしていたが、当時、現実には脆弱性報告の場でしかなかった。
• CERTの情報公開ポリシーは、当時は^[1]「報告された脆弱性情報をベンダーに確認し、ベンダーの了解が得られない限りは情報を公開しない」というものであった。そのため、CERT/CC自体はベンダーが脆弱性を修正するための外圧としては機能しなかった。
• CERTによる脆弱性情報公開の際は、技術面での詳細説明は省略されていた。そのため、セキュリティ担当者にとって、その脆弱性情報に対する対策が適切なものであるかを判断することは難しかった。また、CERTもベンダーもそのような「秘密主義」の立場を取っていたため、同ジャンル他社製品が同じ脆弱性問題を持っている可能性があるということを各社が知ることができなかった。

このような歴史的背景の中で、「セキュリティにおける秘密主義」に対抗して登場したセキュリティ理念がフルディスクロージャであり、そのフルディスクロージャ運動の具現化の一つがBugtraqである。そのような背景から、Bugtraqでは詳細な攻撃手法はもちろんのこと、その実行コードであるexploitの投稿も認められている。

Scott ChasinからAleph Oneに管理が移るころまでの約3年間は、メーリングリスト参加者はせいぜい1,000人にも満たないものであったが、Aleph Oneに代わってからは徐々に増え、（Aleph Oneに行なわれた2001年のインタビュー時点で）40,000人を超える規模となった。初期においてはモデレータ制を採用していなかったが、徐々にS/N比が低下し、1995年6月5日からはモデレータ制となっている。サーバーには初期にはCrimelab.comを用いていたが、モデレータ制採用のタイミングでNetspace.orgに移行、その後、1999年に現在のSecurityFocus.comに移行している。なお、SecurityFocus.comを運営していたSecurityFocus社は、2002年8月6日にSymantec社によって買収されている^[2][3]。

Bugtraqには一時、日本語版が存在していた。Bugtraq-JPと呼ばれ、1999年8月4日にLAC社の三輪によってSecurityFocus内に創設。終了時点では参加者は10,000人近い規模であったが、日本での脆弱性情報の取り扱いに関する整備が進んだことを受け、2006年3月17日に終了している^[4]。

影響

2009年現在もなお、発表される脆弱性の情報はほとんどBugtraqが網羅しており、最大手の交流の場として知られる。また、Bugtraq創設に伴って起こったフルディスクロージャの理念は、以下のように多数のセキュリティ関連の動きに影響を与えている。

• NTBugtraq（1997年創設）などの、セキュリティ系メーリングリスト
• MITER CVE、NIST NVD、JVNなどの、脆弱性情報データベースの創設
• CERT/CC、各種ベンダーの脆弱性情報公開ポリシー

参考文献

• 「フルディスクロージャ-セキュリティ脆弱性を発見し公表する人々の言い分」『ネットワークマガジン』、ASCII、2001年3月、110–115頁。 

脚注

[脚注の使い方]

1. ^ “CERT/CC Vulnerability Disclosure Policy”. 2009年3月1日閲覧。 - 現在は、CERT/CCから2000年10月9日に発表された左記の公開ポリシーに基づいた運用となっている。
2. ^ “Symantecが「Bugtraq」で有名なSecurityFocusを買収”. 2009年3月1日閲覧。
3. ^ “Symantec Acquisition of SecurityFocus Completed”. 2009年3月1日閲覧。 - Symantec社によるプレスリリース
4. ^ “Bugtraq-JP終了のお知らせ”. 2009年3月1日閲覧。 - セキュリティホールmemoによるメールアーカイブ

外部リンク

• “SecurityFocus - Bugtraq公式サイト”. 2009年3月1日閲覧。
• “Interview with Elias Levy (Bugtraq)” (2001年10月4日). 2009年3月1日閲覧。 - Elias Levy（=Aleph One）のインタビュー記事
• IPA. “セキュリティ脆弱性情報等の公開ポリシーに関する資料” (PDF). 2009年3月1日閲覧。
  • 「1.1 CERT/CC 設立」におけるAleph Oneのコメント
  • 「1.2 Bugtraq メーリングリスト創設」