悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年08月11日(月) 12時50分

『バグトラック』にIE悪用攻撃コードをそのまま掲載、賛否は両論WIRED

本記事は「ウェブセキュリティー」特集として再編集されたものです。初出は2002年11月21日です。

 公表すべきか、秘すべきか——ここ1年、コンピューター・セキュリティー業界ではこの問題が激しい議論の的になってきた。

 米国のサイバー・セキュリティーを主導するリチャード・クラーク氏をはじめ、事実上すべてのソフトウェア企業の主張によれば、セキュリティー研究者が問題点を公にする前に、ソフトウェア・メーカーは問題を修正する機会を与えられるべきだという。

 一方セキュリティー研究者は、ソフトウェア・メーカーは、すべてが公表されないうちは、すみやかにパッチをあてられないことが多いと反論する。また、悪意のある攻撃者はそのセキュリティーホールをすでに知っているわけで、往々にして修正パッチの公開前にそれを悪用することから、理屈の上では、全情報の公表により一般ユーザーにも注意を呼びかけられるということになる。

 しかし、いつもなら完全公表を歓迎する人々も、セキュリティー情報のメーリングリスト『 http://online.securityfocus.com/archive/1 バグトラック』に最近流れたある投稿には激怒した。

 この投稿は、ウェブページに組み込まれているプログラミング・コードのごく一部を使って、サイト訪問者のハードディスクを再フォーマットし、そこに保存されているファイルすべてを削除する方法を詳述している。この手口の被害を受けるのは、米マイクロソフト社の『インターネット・エクスプローラ』(IE)のバージョン5.5と6.0を使っているユーザーだという。

 セキュリティーの専門家 http://computerbytesman.com/ リチャード・スミス氏は次のように語る。「たとえ全情報の公表が支持されているとしても、この投稿は、公開フォーラムで容認されている範囲をはるかに超えている。こうした悪意あるコードを公表することがどうセキュリティーを高めるのか、私にはわからない。(バグトラックと、その発行母体であるウェブサイト『セキュリティーフォーカス・コム』を運営している)米シマンテック社は、[どこかで見つけてきたコードを使って興味本位で攻撃を仕掛ける]スクリプト・キディーたちにただ手を貸しているだけだ」

 「バグトラックは管理者がいるメーリングリストなので、メッセージをメーリングリストに流すか却下するかの選択ができる。それなのに、このメッセージはなぜ却下されなかったのか?」とスミス氏。

 シマンテック社によると、この脆弱性情報の投稿は正式に認められたという。

 シマンテック社は次のように述べている。「この脆弱性はセキュリティー業界ではよく知られているものであり、またバグトラックに寄せられた今回の情報は、他の公開フォーラムからコピーしたりリンクを張ったりしたものだった。今回のこの特殊な手口はシステムに深刻な問題を引き起こす可能性があり、セキュリティーの専門家は、この脆弱性が野放しで悪用され被害をもたらしているということを認識する必要がある」

 ただし、シマンテック社としては、バグトラック・メーリングリストを、セキュリティー業界向けに、セキュリティーフォーカスのブランドのもとで独立組織として運営しているという。

 バグトラック・サイトの目的は、セキュリティー専門家による、最新の技術的脅威やハッカー攻撃についての客観的な報告を促進することだ。シマンテック社によれば、適合する内容には「セキュリティーの脆弱性に関連した、具体的な悪用プログラムやスクリプト、詳細な悪用のプロセス」が含まれうるという。

 シマンテック社はバグトラックについて、「コミュニティーの方針を一貫させるのは重要なことだ。現行の公表方針はこのサイトに適したものと考えている」と述べる。「顧客や研究者から寄せられた脆弱性情報については、当社はまた別の公表方針に従っている」

 しかし、スミス氏はこれに異を唱える。

 「ウェブページからハードディスクを自動的にフォーマットするやり方を教えることが『完全な公表』ではない」とスミス氏。「これは悪意あるコードの記述だ。外部の人に対し、シマンテック社の行為は悪意あるコードの作成とリリースを促しているような印象を与える。シマンテック社がセキュリティー・ソフトとウイルス駆除ソフトの販売も手がけていることを考えると、そこにはきわめて大きな利益相反があると思われる」

 問題の手口はもともと、セキュリティー研究者アンドレアス・サンドブラッド氏が今月初めに見つけたものだった。

 サンドブラッド氏が報告を発表して以来、いくつかの手口が考案され、10ヵ所近いウェブサイトで実際に試されている。公表された手口のほとんどはユーザーのコンピューターに害を及ぼすことはなかったものの、攻撃対象のコンピューターを遠隔操作可能にする方法を実証したのだ。

 また、他のセキュリティー専門家たちによると、ハードディスクを害する手口を公表することは諸刃の剣だという。

 ジェイムズ・マディソン大学のセキュリティー・エンジニア、ゲリー・フリン氏は、「これまでの情報をもとに基本的な予防措置を施していたが、今回の新しい情報のおかげでそれを増強することができた」と語る。「しかしもちろん、これでこの問題を悪用しやすくなった人もいるのだが」

 フリン氏は http://www.jmu.edu/computing/security/info/iehot.shtml ウェブページに問題を詳述し、対応策も紹介している。

 マイクロソフト社によれば、セキュリティーホールが報告されたら、同社のセキュリティー対応センターができるだけ早急に調査を行なうという。

 マイクロソフト社は、今回のセキュリティーホール悪用法のいくつかについては、すでにセキュリティーパッチで対策済みだと述べた。しかし同社は、「報告されている問題を調査中であり、さらに徹底した防御策を提供するために今後変更を加えるかどうかを検討している」と付け加えた。

[日本語版:近藤尚子/高森郁哉]

日本語版関連記事

http://www.hotwired.co.jp/news/news/technology/story/20021121301.html MSのFTPサーバーから、顧客データベースなど大量の内部資料が流出

http://www.hotwired.co.jp/news/news/technology/story/20021121303.html 依然として残る米国政府コンピューター・システムの脆弱性

http://www.hotwired.co.jp/news/news/business/story/20021011105.html 悪化の一途をたどるサイバー・セキュリティー

http://www.hotwired.co.jp/news/news/technology/story/20021004302.html ウィンドウズ/UNIX「セキュリティー脅威トップ20リスト」最新版発表

http://www.hotwired.co.jp/news/news/technology/story/20020805301.html HP、バグ情報を公開した企業に訴訟を起こすと警告

http://www.hotwired.co.jp/news/news/business/story/20020802106.html バーンズ&ノーブル・コム、セキュリティーホール報告に知らん顔

http://www.hotwired.co.jp/news/news/technology/story/20020619302.html 『アパッチ』サーバーソフトのセキュリティー警告は勇み足?

http://www.hotwired.co.jp/news/news/technology/story/20020418301.html IEに新たなセキュリティーホール:「戻る」ボタンで攻撃開始?


WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ


(WIRED)

http://headlines.yahoo.co.jp/hl?a=20030811-00000001-wir-sci

最新のニュース記事一覧
お問い合わせ