［CRYPTO-GRAM日本語版］Microsoftのソース・コード流出

勝村幸博

2004.04.10

　13日の金曜日，Windows 2000とWindows NTのソース・コードがインターネットに出回っていたことが明らかとなった。Microsoftはすぐにソース・コードの流出を確認し，「Windows 2000とWindows NT4のソース・コードの一部が，インターネット上で違法に公開されている」という声明を発表した。Microsoftはその損害を控えめに言い，流出したのはソース・コードのおよそ15％だと公表した。流出元は，Microsoftのパートナー企業であることがすぐに判明した。流出したWindows NTのソース・コードには，NT 4.0 Service Pack 3がすべて含まれており，ファイル数は2万7000を超える。流出したWindows 2000のソース・コードは部分的なものだったが，PKIモジュールのソース・コードが含まれていた。

　驚いたことに，Microsoftは誰がソースを流出させたのかをすぐには特定できなかった。Microsoft製品のソース・コード・ファイルにそれぞれユニークな情報（透かし）を入れておけば，コピーからソースを容易にたどれるはずだ。彼らがそういったことを怠っていたという事実は，彼ら自身のセキュリティについて多くを語っている。

　流出したコードを利用するのは誰か――そのことを推測するのは興味深い。まず明白なのは，ハッカーたちである。彼らはぜい弱性を見つけるために，ソース・コードを詳細に調べるだろう。彼らは自分たち自身のためにも働けば，スパム送信業者（スパマー）に雇われて，あるいは組織的な犯罪の一部として働くかもしれない。ただ，コードを調べればいくつかのぜい弱性が見つかるだろうが，それほど多くはないと思う。Microsoft製品のぜい弱性を見つけることは難しくないので，ぜい弱性を見つけるために必ずしもソース・コードを必要としない。

　他にコードを利用する可能性があるのは，同社製品の競合製品を開発している企業だ。もっとも，それほど利用するとは思えない。というのも，Microsoft製品に隠されたシステム・コールやプログラムのトリックを見つけることに労力を費やす価値はないからだ。隠されたシステム・コールなどを見つけても，次のバージョンできちんと動く保証はない。

　3番目に考えられるのは，訴訟を探し回っている弁護士たちだ。「Microsoft製品だけがアクセスできて，競合製品はアクセスできないショート・カットがWindowsには存在する」ということが長い間噂になっている。弁護士たちにとっては，例えば「Microsoft Officeを助け，StarOfficeの邪魔をするコード」といった決定的な証拠（a smoking gun）を見つけるためなら，プログラマのチームを雇う価値があるかもしれない。だが，たとえ証拠を見つけられる可能性があったとしても，あまりにも危険な賭けだ。

　第4の候補が，国家の諜報機関である。彼らがソース・コードに興味を持つかもしれない。その可能性は高いだろう。しかし，どんな諜報機関でも，入手したいコードのコピーなら，自分たちで既に入手しているだろう。

　Microsoftの反応を見ると，彼らも「流出したコードを利用するのは誰か」ということについて考えているようだ。Information Weekの記事によると，「Microsoftは，Windowsのソース・コードを違法にダウンロードした人々に対して警告の手紙を送った」とのことだ。ハッカーがコードを利用することを脅威と感じるなら，この行動は全くもって意味がない。コードは既に流出している。既に公のものになっている。取り戻す術はない。そして，コードを欲しがる悪人は，既にコードを手に入れているだろう。弁護士からの手紙で阻止することはできない。Microsoftの弁護士ができることは，善人がコードを見ないようにすること，ぜい弱性を探されないようにすることだけだ。

　しかし，Microsoftが最も恐れているのが他の法律家だということに気付けば，彼らの行動に納得がいくだろう。Microsoftは「何を見つけられてしまうだろうか」と恐れている。そのため，コードにアクセスできる善人の数を制限したいのだ。

　データ・セキュリティを本当に理解している企業は，情報を流出するようなセキュリティ侵害があれば，それを認めて直そうとする。そして，できるだけ多くの回避できないバグにすばやくパッチをあてるために，リリースしたコードを詳細に調べる。データ・セキュリティを本当に理解している企業は，ハッカーはコードを持っていて利用できることも理解しており，善人が彼ら自身を守ろうとすることを邪魔しない。

　弁護士に連絡するよりも，このような行動を採っていれば，同社にとってよいPRになったのに，とさえ思う。

＜http://www.informationweek.com/story/...＞
＜http://www.winnetmag.com/windowspaulthurrott/...＞
＜http://www.cnn.com/2004/TECH/internet/02/13/...＞
＜http://news.com.com/2100-7349_3-5158496.html＞

Report that Mainsoft is the source of the leak:
＜http://www.eweek.com/article2/0,4149,1526831,00.asp＞

◆オリジナル記事「Microsoft Source Code Leak」
◆「CRYPTO-GRAM　March 15, 2004」
◆「CRYPTO-GRAM　March 15, 2004」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ

◆この記事は，Bruce Schneier氏の許可を得て，同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆Bruce Schneier氏は，「Beyond Fear」「Secrets and Lies」「Applied Cryptography」の著者であり，暗号アルゴリズム「Blowfish」や「Twofish」の開発者でもあります。同氏は米Counterpane Internet Securityの創業者およびCTOであり，「Electronic Privacy Information Center（EPIC）」のアドバイザリ・ボード（Advisory Board）の一員です。
◆オリジナルの記事は，「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。