🛡 概要
サイバーセキュリティ企業FuzzingLabsが、Y Combinator支援のスタートアップGecko Securityに対し、自社の脆弱性開示をコピーし、ブログ投稿の日付を遡って変更したと非難しています。FuzzingLabsによると、Geckoは以前に開示された2つの脆弱性についてCVEを提出し、PoCをコピーして再提出し、クレジットを取得したというのです。この問題は、セキュリティ研究における誠実性に関わるものであり、FuzzingLabsは責任ある開示を守っていると主張しています。
🔍 技術詳細
FuzzingLabsが指摘した脆弱性は、Ollamaサーバーの認証トークンを盗む脆弱性(CVE-2025-51471)と、Gradioの任意のファイルコピー及びDoS攻撃を引き起こす脆弱性(CVE-2025-48889)です。これらはそれぞれ2024年12月24日及び2025年1月16日にFuzzingLabsによって最初に報告されました。FuzzingLabsは、Geckoがこれらの脆弱性に関して提出したプルリクエストが、彼らの正当な報告が公開された後に作成されたことを発見しました。また、FuzzingLabsは、Geckoがブログ投稿の日付を遡って変更したと主張しており、これにより彼らの報告が古いものに見えるようにしたとしています。
⚠ 影響
この対立は、セキュリティ研究の誠実性や責任ある開示の重要性を浮き彫りにしています。FuzzingLabsは、Geckoが他の研究者から盗んだ脆弱性が少なくとも7件あり、これらの脆弱性についても不正なクレジットを主張していると述べています。この問題は、セキュリティコミュニティ内での信頼性や、脆弱性報告の重複に関する課題を引き起こしています。特に、CISAのCVEプログラムの将来に不確実性がある中で、脆弱性の重複を適切にトリアージする難しさが顕在化しています。
🛠 対策
このような問題を避けるためには、セキュリティ研究者や企業が責任ある開示を徹底し、他の研究者の成果を尊重することが不可欠です。また、脆弱性報告の際には、詳細な情報を提供し、透明性を確保することが重要です。企業は、他の研究者の報告を確認し、重複がある場合には適切にクレジットを与える体制を整える必要があります。FuzzingLabsとGecko Securityの事例は、セキュリティ研究における倫理的な行動が求められることを示しており、今後の研究活動においてもこの教訓を生かすべきです。
