これは避けられないことだ。だれかが不正アクセスのコンセプトを証明するコードを投稿すると,ほとんど即座にだれかが悪意のある攻撃方法の開発に取りかかる。こういう便乗する輩は,もっと状況をよくするべきことはないのか。
研究者と悪人の区別が付けられない
ご存知のように,Windowsの一連の新しい弱点が,最近いつものところで発表された。そして最低でも1つの攻撃「Phelワーム」がばらまかれている。このワームは,侵入したシステムにコードをインストールして,ネットワークの一部にバックドアを開け,そのシステムからDDoS(分散型サービス拒否)攻撃をしかける。このワームはInternet Explorer(IE)経由で侵入してシステムに感染するが,ユーザーが気づかないこともある。
表面的にはこうした弱点と攻撃は,対立する勢力から出てくるように見えるかもしれない。一方の側には,自分たちの発見したコンセプトを証明するコードをリリースする「研究者たち」がいる。もう一方の側には,その証明されたコンセプトを自分たちの極悪非道な目的のため,悪いものに変える人々がいる――というように。
社会的な意味を考えない研究者
私を当惑させているのは,怪しい「研究者」だ。彼らはある意味,精神的な“バッファ・アンダーフロー攻撃”に襲われているのではないか。つまり物事をきちんと考えていないのだ。
彼らはセキュリティの弱点を見つけ出すことには非常に長けているが,その何人かは一番の明白なセキュリティの問題を認識しそこなっている。つまり,セキュリティの弱点の赤裸々な詳細を,時期尚早のうちに公開してしまった場合に起きる問題を認識していない。何人かの研究者は(セキュリティの)問題を理解しても,全く注意をしていないようだ。それは,特定の研究者と不正なコードを書く人間が,事実上協力して卑劣なゲームを進めているということになる。
別の研究者はベンダーに対して,いやいや連絡を取っている。比較的最近の弱点の報告で研究者の1人は,自分はベンダーに連絡しようとしたが,できなかったので,自分が見つけたことの詳細を公開するのが合理的だと思った――と主張した。
私はたまたまその問題の製品を使っているので,自分でベンダーに連絡を取ってみた。ベンダーのWebサイトを60秒ほどクリックしまわると,いくつかの連絡先が見つかったので,くだんの研究者の発見についての電子メールを送った。24時間以内にそのベンダーは解決策をメールで返してきた。それからそのベンダーが教えてくれた解決策を,その研究者に転送したが,その研究者はそれを公開しようとしなかったのだ!
このケースでは,いわゆる「研究者」が弱点を突くコードを探し出すことはできたが,ベンダーへの連絡に必要な情報は何も見つけられなかったのである! 明らかにこういう研究者は本当の研究者ではない。こいつらは卑劣なゲームをしているのだ。
セキュリティを警告するプロセスを考えよう
別の件でこういうこともあった。2004年末に私はWindowsファイアウオールの重要な更新を,Microsoftがリリースしたことについて書いた。この更新は,Windowsファイアウオールがローカル・サブネットの制限を処理する方法を改善するものだ。この更新はMicrosoftの月例のセキュリティ情報には含まれなかった。もし先週のニューズレターをお見逃しなら,2004年12月9日付けの Security UPDATEの論説(該当サイト)と,関連するニュース記事「Critical Update for Windows Firewall Flies Under the Radar」(該当サイト)でなぜこういうことが起きたか,その理由を読める。
この論説に対してある読者が「SMS(Systems Management Server)とMBSA(Microsoft Baseline Security Analyzer)を一緒に使うと,そのファイアウオールの修正パッチのことをレポートしてくれない」ということを書き送ってくれた。
ただし,この読者はこう付け加えていた。彼が置かれた状況ではファイアウオールの例外を設定する条件にローカルのサブネットの制限を使っていないので,この欠陥は問題にはならないのだ,と。それにもかかわらず,この読者は,重要な更新をユーザーに知らせることに関して,Microsoftから注意を向けるべき別の見方を指摘した。
われわれはアンケートを行って「Microsoftはセキュリティを警告するプロセスを改善すべきだと思いますか?」と聞いた。選択肢は「はい,すべてのセキュリティ更新に関して警告を送るべきだと思います」と「いいえ,そのプロセスは今のままで私にはうまく働いています」である。
これまでのところは,回答者のほとんどは「はい」と答えた。次回はそのアンケート結果から読者の声を紹介する。
