2017 年のセキュリティ予測の 1 つとして、私は、サイバー冷戦で民間人の犠牲者が出ると予想しました。国家もすでに、さまざまな形でサイバー攻撃に関与しているのです。政府が発見し、防衛上の理由によって公開していない、ベンダーに知らされていないゼロデイ脆弱性が存在すると疑う人は少なくありません（最近、それを裏付けるような情報もリークしています）。今年の予測で言及したように、政府がゼロデイ脆弱性を公開しなければ我々全員が危険にさらされるというのが、私の考えです。政府がベンダーに脆弱性を通知しなければ、悪意のある人物がその脆弱性に気付き、それを悪用して国民を標的に攻撃を仕掛ける可能性があるためです。

最近まで、ゼロデイ脆弱性の一般性、未発見のまま存在していた期間、あるいは 2 人が同じ脆弱性を発見する確率といった、定量化できるデータは、存在しませんでした。今日のビデオでは、これらの疑問の答えになるかもしれない、RAND Corporation の新しいレポートをご紹介します。私自身、このレポートのすべての方法論と結果に完全に同意するわけではありませんが、ゼロデイ脆弱性に関する大変興味深い洞察を提供してくれていると思います。今日のビデオで、詳細をご確認ください。

（エピソードビデオの長さ： 6:26）

YouTube へのダイレクトリンク：https://www.youtube.com/watch?v=gVelJjVjkIM

エピソードの参照情報

• RAND Corporation のレポート「Zero Days, Thousands of Nights」[PDF] – Rand.org
• 米国政府はゼロデイを非公開にすべきか – FCW
• 未公開のまま存在し続けるゼロデイ脆弱性 – ThreatPost

－ Corey Nachreiner, CISSP （@SecAdept）