米Googleは現地時間2014年7月15日、ゼロデイ攻撃撲滅に取り組む専門チーム「Project Zero」を設置すると発表した。同チームは、業務時間の100%を使ってインターネットのセキュリティ向上に専念する。
Googleは、Project Zeroを立ち上げる理由として、「現在、ゼロデイ脆弱性を利用する産業スパイや人権活動家を狙った攻撃が多数確認されている。この問題に立ち向かうために、できることがまだ多くある」と説明した。
Project Zeroは、標的型攻撃の被害者を大幅に減らすことを目的とするため、利用者規模が大きいソフトウエアであれば、ベンダーや種類などに関わらず調査の対象にする。脆弱性の特定や報告のほか、脆弱性緩和や攻撃手口に関する調査も実施する。
Project Zeroが検出したすべてのバグは「Google Code」のデータベースに記録する。バグを見つけるとまずソフトウエアベンダーにのみ報告し、第三者には公開しない。パッチがリリースされるなどしてバグ情報が周知のことになった時点で、ベンダーの対応スピード、攻撃手口に関する議論などを閲覧可能にする。
Googleは現在、Project Zeroのメンバーとなるセキュリティ専門家の採用を進めている。
[発表資料へ]