2004年02月12日(木) 18時00分
MS、「緊急」レベルのセキュリティーホールを半年遅れで公表(WIRED)
ワシントン発——米マイクロソフト社は10日(米国時間)、複数のウィンドウズのバージョンに極めて重大なセキュリティーホールが見つかったと発表した。この欠陥が悪用されれば、ハッカーが密かにユーザーのコンピューターに侵入し、ファイルを盗んだり、データを消去したり、秘密の情報を盗み見たりできるという。
マイクロソフト社は6ヵ月前、すでにこの欠陥について専門家の指摘を受けていた。同社ではこのセキュリティーホールの危険性を最高の「緊急」レベルに指定し、同社のウェブサイトで提供される修正パッチを適用するのが、唯一の対策方法だとしている。
マイクロソフト社のセキュリティー・プログラム責任者、スティーブン・トゥールーズ氏は、今回、欠陥が見つかった箇所は「ウィンドウズの中でもごく基幹部分に関わり、影響範囲の大きな技術」であるため、すぐに修正パッチを適用するようにとユーザーに呼びかけている。
マイクロソフト社のビル・ゲイツ会長兼最高ソフトウェア開発責任者(CSA)は数週間後に、業界でも最も重視されているセキュリティー関係の見本市の1つで基調講演を行なう予定になっており、今回の発表は実に間の悪いタイミングとなった。同社のソフトウェアは世界中の政府や企業、家庭のコンピューターの多くで稼働しているが、ここ数ヵ月でこうした製品のセキュリティーリスクに対する批判がふたたび高まりつつあり、同社では対応に苦しんでいる。
今回発表されたセキュリティーホールを発見した、
http://www.eeye.com/html/index.html イーアイ・デジタル・セキュリティー社のマーク・メイフレット氏は、「今度の欠陥は、マイクロソフト社がソフトウェアの脆弱性について公表したものの中で最も深刻な部類に入る。影響を受けるシステムの範囲は、おそらく過去最大だろう。この欠陥を突かれると、インターネットのサーバーや内部ネットワークなど、ほとんどのシステムが侵入を許してしまう」と指摘する。
メイフレット氏によると、電力や水道など、きわめて重要な公共サービスを制御するコンピューターシステムの一部も、この欠陥の影響を受けるという。
同氏はまた、ハッカーは今後数週間のうちに、壊滅的な打撃をもたらしうるウイルスをインターネットに放つだろうと警告する。こうしたウイルスを生み出す温床となっていた従来の脆弱性と異なり、今回公表された欠陥を悪用して対策が済んでいないコンピューターに侵入する方法は数十通りにのぼるため、対策を取るのははるかに難しい。
以前、ホワイトハウスでサイバーセキュリティーに関する顧問を務めていた
http://www.sachsfamily.net/marc/ マーカス・サックス氏も「(ウイルス開発)競争が始まるだろう」と言い、メイフレット氏の見解を支持する。
イーアイ・デジタル・セキュリティー社では、昨年の7月にこの問題を発見していたが、マイクロソフト社で修正が可能になるまでは欠陥について発表しないことを同社と申し合わせていた。しかし、欠陥の発見からマイクロソフト社による公表までにこれほどの時間を要し、ウィンドウズ・ユーザーがこの間、無防備な状態に置かれたことを、メイフレット氏は「まったく容認できない」と批判している。
トゥールーズ氏によると、何ヵ月もかかったのは、関連するすべての問題を1つの修正パッチで解決できるよう、念入りに作業を行なったからだという。「調査をできるだけ広く、かつ深く行なうために、きちんと手順を踏んだ」と同氏は述べている。メイフレット氏およびマイクロソフト社は、この欠陥を突いてウィンドウズ搭載のコンピューターを攻撃したという報告は、現在のところないとしている。ただし、イーアイ社でこの欠陥を利用して自社のコンピュータに侵入を試みたところ、成功したという。
また、今回のマイクロソフト社の欠陥公表は、大統領諮問委員会がソフトウェアの脆弱性対策に関する報告書をホワイトハウスに提出する数日前というタイミングで行なわれた。この報告書は、国家の安全保障を脅かす可能性がある重大なソフトウェアの脆弱性に対して、ハイテク関連企業がとるべき対応方法を提言している。AP通信が事前に入手した54ページにわたる報告書は、「改善が大幅に遅れた場合、エンドユーザーがリスクにさらされる期間が長期化する事態を招く」と警告している。
今回のセキュリティーホールは、最新バージョンの各種ウィンドウズに搭載されている『ASN.1』(Abstract Syntax Notation 1)という、異なるコンピュータ間でのデータ共有に関する技術に存在するという。同社のソフトウェアに組み込まれているセキュリティー対策技術の機能、たとえば、ネットワーク認証プロトコルの『Kerberos』(ケルベロス)などは、この欠陥を持つソフトウェアに基づいている。
マイクロソフト社では
http://www.microsoft.com/japan/products/library/rightframe.asp?dtcfg=/japan/technet/treeview/deeptreeconfig.xml&url=/japan/technet/security/bulletin/MS04-007.asp?frame=true&hidetoc=false ただちに修正パッチを適用するよう呼びかけている。対象となるのは、『Windows XP』、『Windows 2000』、『Windows NT Workstation』のほか、主に企業で使われている『Windows NT Server』、『Windows Server 2003』などだ。
[日本語版:長谷 睦/福岡洋一]
日本語版関連記事
・
http://www.hotwired.co.jp/news/news/technology/story/20040204301.html マイクロソフト、『マイドゥームB』を撃退と発表
・
http://www.hotwired.co.jp/news/news/technology/story/20040107308.html セキュリティー専門家が総括「2003年はウイルス被害最悪の年」
・
http://www.hotwired.co.jp/news/news/business/story/20031110102.html ソフトウェアの欠陥、ついにMSの業績に影響
・
http://www.hotwired.co.jp/news/news/technology/story/20031016303.html マイクロソフト、新たに4つの重大なセキュリティーホールを公表
・
http://www.hotwired.co.jp/news/news/technology/story/20030912303.html またしてもウィンドウズにセキュリティ欠陥
・
http://www.hotwired.co.jp/news/news/culture/story/20030912204.html 「ウイルス被害拡大の責任はどこに?」米連邦議会で公聴会
・
http://www.hotwired.co.jp/news/news/technology/story/20030821306.html 続くウイルス攻撃——問われるマイクロソフト社の責任
・
http://www.hotwired.co.jp/news/news/technology/story/20030811308.html ウィンドウズにまた深刻な欠陥:シスコの『IOS』にもセキュリティーホール
・
http://www.hotwired.co.jp/news/news/technology/story/20030320301.html 『ウィンドウズ』全バージョンに「緊急」のセキュリティーホール
WIRED NEWSのメール購読申込みは
http://www.hotwired.co.jp/reception/index.html こちらへ
(WIRED)
http://headlines.yahoo.co.jp/hl?a=20040212-00000001-wir-sci