筆者は、記事執筆の際にインターネットで公開されている情報を参考にすることが多い。Webサイトやメーリングリストから記事のネタを探すことも多い。だが、これらの情報をうのみにするのは、当然のことながら危険である。公開されている情報にはうそや誤りが多い。何らかの手段で、その真偽を確かめる必要がある。
2007年のエイプリルフール、そのことを改めて思い知らせられた。Windows Vistaに見つかったとされる偽のぜい弱性(セキュリティホール)情報をエサに、IT系のメディアをだまそうとする“釣り”があったからだ。
今回の“釣り”を仕組んだのは、セキュリティに関する情報やツールなどを以前から提供している「SecurInfos.info」というWebサイト。「Week Of Vista Bugs(Vistaのバグ週間)」と銘打ったキャンペーンを実施し、Windows Vistaで見つけた新しいセキュリティホールを1週間にわたって毎日公開することを、3月30日、セキュリティ関連のメーリングリストに投稿したのだ。
“バグ月間/週間”が流行
2006年7月の「Month of Browser Bugs(ブラウザのバグ月間)」以降、特定製品の未公表のぜい弱性(バグ)を、ある期間にわたって毎日公開するキャンペーンが相次いで実施されている。Month of Browser Bugsを実施したのは、セキュリティの専門家として有名なHD Moore氏。同氏が発見した、Internet Explorer(IE)やFirefox、Opera、Safariといった主要ブラウザーのぜい弱性を31日にわたって毎日1件ずつ公表した。
2006年11月には、LMHと名乗る人物が、OS関連のぜい弱性を1カ月にわたって毎日公表する「Month of Kernel Bugs(カーネル・バグ月間)」を実施。2007年1月には、このLMH氏とKevin Finisterre氏が「Month of Apple Bugs(アップル・バグ月間)」と銘打ち、米Apple製品のぜい弱性を公表した。
今回のWeek Of Vista Bugs(WOVB)は、この“流行”に乗ったものである。3月30日に投稿された予告文は以下のとおり。
Hello,
we are proud to announce that The Week Of Vista Bugs : The "WOVB" starts... next week!
New undisclosed vulnerabilities / flaws / exploitation techniques (with advanced technical details and 0days) related to Microsoft Windows Vista will be provided on this page:
https://www.securinfos.info/english/the-week-of-vista-bugs.php
See you soon and have a nice week-end.
The WOVB Team.
「WOVBチーム」によれば、メディアを“釣る”ために、「undisclosed vulnerabilities(未公表のぜい弱性)」や「0days(ゼロデイ)」といった単語をちりばめたという。上記の投稿だけではWOVBが本物かどうかは分からないが、過去の“バグ月間”が本物だったこと、SecurInfos.infoが実在するセキュリティサイトであることを考えれば、関係者にとっては注目に値する投稿だった。
そして、エイプリルフール4月1日は日曜だったため、翌4月2日に最初の、そして最後のぜい弱性情報が公表された。タイトルは、「Bypassing Vista Firewall, Flying over obstructive line」。VistaのWindowsファイアウオールにはセキュリティ機能を回避できるぜい弱性が存在し、リモートから攻撃を受ける危険性があるという。危険度(Critical)は、5段階レベルで最悪の「Extremely Critical」。加えてWOVBチームは、エクスプロイト(exploit:ぜい弱性を検証するためのプログラム)を次の土曜日(4月7日)に公表するとした。本当だったら、えらいことだ。
専門家は見抜いていた
だが、専門家たちはだまされなかった。前述のHD Moore氏は、最初のぜい弱性情報発表直後、あるメーリングリストに「公開された情報を見る限りでは、今回のぜい弱性情報はうそ(hoax)のように思える。とにかくエクスプロイトが公表されるのを待とう」といった内容を投稿した。
米Symantecの解析チームも、同社が提供するセキュリティ情報提供サービス「DeepSight Threat Management System」において、WOVBチームの情報を詳細に分析したうえで、「主張しているぜい弱性と、ぜい弱性情報に記述されている内容が一致しない」と報告。Moore氏と同じように、「詳しいことはエクスプロイトの公開を待つ必要がある」とした。併せて、「WOVBはうそ(hoax)だといううわさが流れている」ことも報告していた。
また、後日、国内のある専門家に話を聞いてみたところ、4月2日のぜい弱性情報を読んで、すぐに“ネタ”だと思ったという。
専門家の予想どおり、WOVBチームは翌4月3日、WOVBがエイプリルフールの冗談だったことを明らかにした。技術的に詳しい人やIT系メディアが、実際には根拠の乏しい情報に依存していること、今回のような情報(未公表のぜい弱性やゼロデイ)に喜んで飛びつくことを示すのが目的だったという。
WOVBチームは、セキュリティホールが冗談だと分かるヒントを散りばめていたことも公表した。公表日を4月の第1週にしたことはもちろん、例えば、タイトルの「Flying over obstructive line」の単語の頭文字を並べれば「Fool」になるようにした。
本当のぜい弱性に救われた?
ただ、WOVBチームの狙いとは裏腹に、今回のWOVBを取り上げたメディアは少なかった。理由としては、セキュリティに関するもっと大きな話題があったことが挙げられるだろう。4月4日に修正パッチが公開されたWindowsのセキュリティホール「GDIの脆弱性により、リモートでコードが実行される (925902) (MS07-017)」だ。
3月末にゼロデイ攻撃が確認され、ぜい弱性を突くプログラム(ファイル)がネット上で公開された。そういったプログラム(ファイル)を置いたWebサイトが急増し、4月2日にはマイクロソフトが緊急に修正パッチを公開することを発表した。不確かなぜい弱性よりも、実際に被害が出ているぜい弱性のほうが重要だ。もし、IT系の記者がWOVBのことに気付いていたとしても、マイクロソフトの話題を追うのが精一杯だっただろう。筆者もそうだった。
では、「MS07-017」の話題がなかったらどうだっただろう。WOVBチームの思惑どおり、「未公表のぜい弱性」や「ゼロデイ」といったキーワードが報道されていた可能性は高いのではないか。
セキュリティ組織である米SANS Instituteのスタッフは、WOVBが冗談だったことを伝える公式ブログの中で、「インターネットの情報すべてをうのみにしないこと」を改めて呼びかけている。全くそのとおりだ。続けて同スタッフは、「笑う必要が特になければ、WOVBを忘れることだ」と結んでいる。セキュリティ情報を追いかけている筆者としては、笑えないことはもちろん、忘れることはできない。
