米国で4月に開催されたセキュリティ・カンファレンス「CanSecWest」で,OS Xを実行している米Appleの「MacBook Pro」に侵入できる人を募集する「ハッキング・コンテスト」が行われたことをご記憶の方も多いだろう。侵入対象のノート・パソコンが賞品になっていたほか,米3comの一部門であるTippingPointが,OS Xへの侵入に使われたぜい弱性の詳細に対する独占権と引き換えに,1万ドルの賞金を出していた(関連記事:オープン・ネットワークを利用する上での大きなリスク)。

 このハッキング・コンテストでは,成功者が現れた。Dino Dai Zovi氏はShane Macaulay氏と協力して,Apple QuickTimeとJavaの組み合わせに存在するぜい弱性(Dai Zovi氏が発見)を利用したのだ。このぜい弱性によって,彼らはOS Xのコマンド・シェルにアクセスすることに成功した。後になって分かったことだが,QuickTimeのぜい弱性はWindowsプラットフォームにも影響を与えていた。この事実は,QuickTimeのぜい弱性をより危険なものにしている。世界中のより多くのコンピュータ・ユーザーが影響を受けるからだ。

 CanSecWestで先日行われたハッキング・コンテストや,コンテストを通じて公開されたぜい弱性研究全般について,米Gartnerが4月末,批判的な見解を発表した。Gartnerのレポートの中で,研究部門のバイス・プレジデントであるRich Mogull氏とGreg Young氏は次のように述べたのだ。「公開されたぜい弱性研究と『ハッキング・コンテスト』は,危険な試みであり,責任ある開示慣行に反する可能性がある。責任ある開示慣行では,ベンダーは一般発表の前に,パッチや修正を開発する機会を与えられる。ぜい弱性研究は,よりセキュアなITを実現する上で,非常に意義のある取り組みである。だが公開の場でぜい弱性研究を行うのは危険であり,こうしたぜい弱性の悪用,あるいは軽視につながる可能性をはらんでいる。それによって,良かれと思ってしたことが,紛らわしい行為になったり,知らず知らずのうちに攻撃者を助けたりする結果になることもありえるのだ」(当該レポート:QuickTime Vulnerability Exposed by Contest Poses Wide Risk

 Gartnerの見方は正当だろうか?

 Mogull氏とYoung氏が「ベンダーが修正パッチを開発するまでは,ぜい弱性を一般に公開すべきではない」と考えているのは明らかだ。確かにこのアプローチには利点もあるが,公開しないことによって得られるセキュリティ効果は,全くないとは言わないまでも,ほとんどない。「リスクが一般に知られているときは,ユーザーあるいはソリューション・プロバイダによって,十分な予防策がとられる」ということは,これまで何度も証明されている。

ハッキング・コンテストは成功だった

 筆者が気になったのは,Mogull氏とYoung氏がCanSecWestで行われたハッキング。・コンテストに関する,ある明白な問題を見落としているという事実だ。ぜい弱性の発見者であるDai Zovi氏は,コンテストの前はこのぜい弱性のことを知らなかったのである。彼はカンフェレンスで知り合ったMacaulay氏から連絡を受け,2人で賞金を折半できるように,OS Xシステムへの侵入方法を見つけてくれないかと頼まれたのだ。結局,Macaulay氏がノート・パソコンを受け取り,Dai Zovi氏が賞金を受け取ることになった。Dai Zovi氏はMacaulay氏から連絡を受けてから,ぜい弱性を見つける作業に取り掛かったのだ。後の報道によると,Dai Zovi氏は1万ドルの賞金よりも,挑戦そのものにやる気を駆り立てられたそうである。

 CanSecWestが挑戦を提案しなければ,もっと後になるまでQuickTimeの欠陥が発見されなかったであろうことは,明白である。そして,このぜい弱性を利用する悪意のあるコードが何も知らない大衆に放たれてから,ようやくこの欠陥の存在が明らかになっていた可能性もあるのだ。その場合,私たちは完全な不意打ちを食らって,被害は甚大なものになっていただろう。従って筆者の考えでは,CanSecWestとTippingPoint,Dai Zovi氏とMacaulay氏は感謝されるべきなのである。

 QuickTimeのぜい弱性が発見されたことによって,ハッキング・コンテストはCanSecWestやTippingPointの主催者が示したような厳格なガイドラインの下で,管理された方法で行われたら,より大きな成果を上げられるということが,明らかになった。

 さらに,QuickTimeのぜい弱性が発見されたほんの7日後に,Appleはこの問題を修正するアップデートをリリースしたのである。この事実は,適切に運営されたコンテストと多くの報道は,バグ・フィックスの迅速なリリースに貢献することを証明している。