11月末から12月中旬にかけて、マイクロソフトのInternet Explorerに関する脆弱性が相次いで発見された。それにもかかわらず、マイクロソフトが12月の月例セキュリティ修正プログラム(パッチ)をリリースしなかったことから、同社のパッチリリース基準について一部で疑問の声があがっている。今回、「IEのスプーフィングできる脆弱性」などについて、マイクロソフトのセキュリティ戦略グループシニアプロダクトマネージャ古川勝也氏と、グローバルテクニカルサポートセンターセキュリティレスポンスチームテクニカルリード小野寺匠氏にお話を伺った。
次々と発見されるパッチ未公開の脆弱性
|
左からセキュリティレスポンスチームテクニカルリード小野寺匠氏、セキュリティ戦略グループシニアプロダクトマネージャ古川勝也氏
|
今回の問題は、11月末にIEに関するパッチ未公開の5種類の脆弱性が発見されたことに始まる。その後、12月9日にはデンマークのセキュリティ企業Secunia社が「Explorer(IE)にURLをスプーフィング(偽装)できる脆弱性(以下、スプーフィング脆弱性)」を公開した。いずれの脆弱性も、マイクロソフトからパッチが提供されていないため、根本的な解決策がない状態と言える。
スプーフィング脆弱性は、「%01」などのコントロールコードを含むURLの場合、本来のURLを「@」直前部分のみのURLとして表示(偽装)できるというもの。この脆弱性は、有名なショッピングサイトになりすますなどしてクレジットカード番号詐取などに悪用されるおそれがある。さらに、この脆弱性は比較的容易に悪用できてしまう上に、すでに多くのWebサイトにおいて脆弱性を再現可能な手法などが公開されているため、早急なパッチの公開が望まれている。
一方で、マイクロソフトは12月10日(日本時間)の月例パッチを公開しなかった。このことから、「パッチをいつになったら提供するのか?」「緊急の場合は定期配信以外のタイミングでも出すと言っていたのでは?」「これらの脆弱性を“緊急”と認識していないのではないか?」などの多くの疑問の声があがっている。
これらの点について、現時点での同社の見解を伺った。
現在、異常と言えるほどの日程で開発を進めている
まず、古川氏は「現在、米国本社を含めた開発者は、異常とも言えるスケジュールでパッチの開発を進めている。米国では感謝祭やクリスマス休暇を完全に返上で作業している状態だ。日本の担当者も同様だ」と語り、同社の現在の状況を表現した。
この発言は、同社のパッチ開発日程を説明したものだ。つまり、休日を返上するほどの“緊急事態”としてパッチの開発を進めているというのだ。しかし、具体的なパッチの提供日程については、「残念ながら、現在のところ未完成なので明言できない。われわれも明確な日程は提供の数日前、もしくは前日にならないとわからない(小野寺氏)」という。
1日でも1時間でも早く提供したいと考えている
具体的な日時は明言しなかったものの、小野寺氏は「スプーフィング脆弱性については、特に危険な脆弱性と認識している。もし、年内にパッチが完成すれば、1月の月例パッチまで待って提供するようなものだとは考えていない。1日でも1時間でも早く提供したい」との認識を示した。
では、なぜ未だにパッチが提供されていないのか?
「1日でも1時間でも早く提供したいと考えている」のならば、発見から約2週間経過している現在であれば、パッチが提供されても良いのではないだろうか?
“パッチにパッチを当てる”状態を避けるためにも、一定品質以上のものが必要
この点について小野寺氏は、「脆弱性を直すだけのパッチであれば、すぐにでも提供できる。しかし、不十分な検証のままパッチを提供し、“パッチにパッチを当てる”ような状態にはしたくない。そのような不完全なパッチは、ユーザーにとって手間がかかるだけで無意味だとも言える」と語った。
また“パッチにパッチを当てる”ような事態は、同社が月例リリースに方針転換した際に、変更の理由として挙げた「ユーザーのパッチ適用に対する手間を軽減させる」にも反するという。
しかし、前述の「緊急として1日でも早く提供したい」という方針と、「十分な検証をしてから提供したい」という方針は相反する。この点を小野寺氏は、「たしかに相反するものだ。一定の基準をクリアしたもののうち、できるだけ早い時期に提供したい」と説明した。
マイクロソフトが“緊急”と認定する3つの要素
今回、疑問として挙がった「具体的にマイクロソフトが“緊急”として認識する脆弱性の要素はなにか」について、小野寺氏は以下の3点を挙げた。
1)リモートアタックが可能であること
2)その脆弱性を利用したウイルスが存在すること
3)ネットワーク経由で感染するなどの“広まりやすさ”
8月に流行したウイルス「Blaster」や「Welchia」などは、これらの条件を満たしている。一方、スプーフィング脆弱性はいずれも該当しない。小野寺氏は、「このような条件の下では、スプーフィング脆弱性は“緊急”と呼べない脆弱性かもしれないが、実質的には脆弱性や攻撃コードが公開された時点で“緊急”として認識しているため、スプーフィング脆弱性も“緊急”として扱っている」と説明した。
今回の問題は“タイミングの悪さ”と具体的な例を示さなかったことが要因
続いて同社には「なぜこのような混乱を招いたのか」を伺った。
小野寺氏は、第1の理由として、マイクロソフトがパッチ提供を月刊化してからあまり時期が経過していないこともあり、上記のような具体例が示されていなかったことを挙げている。このことから、同社の方針が充分に伝わらず、“誤解”が生じたという。
また、第2の理由として、12月の月例パッチが提供されなかった“タイミングの悪さ”を挙げた。12月の月例パッチが提供されなかったため、「危険な脆弱性と認識していないのではないか」などの疑問をユーザーに生じさせてしまったのだという。この点を古川氏は、「月刊で提供すると説明してから3回目に提供しなかったため、“マイクロソフトはサボっているのではないか?”や“このまま提供しないのではないか?”のような不安を与えてしまった。12月10日に1つでもパッチがリリースされていれば、多少状況は変わっただろう」と説明した。
この2点について、小野寺氏は「当社の説明が不十分だったために誤解を与えてしまった」と語った。
また、スプーフィング脆弱性に関してはパッチが提供されていないため、少しでも実害を回避できるように、回避策をWebサイト上に掲載したのだと説明した。
今回の1件を具体的な課題として今後に活かしていきたい
マイクロソフトの今後の方針としては、脆弱性を発見してマイクロソフトに報告する「報告者」達との信頼関係を一層強固にしていくことや、攻撃コードを公開する危険性を広く啓蒙してウイルスなどの出現を減らしていきたいとしている。
最後に小野寺氏は、「さまざまな要因が重なり、ユーザーを混乱させてしまった部分もある。今後は今回のことを教訓として、さらにわかりやすい情報提供を心がけ、誤解のないように伝えていきたい」と締めくくった。
関連情報
・ IEにURLを偽装できるパッチ未公開の脆弱性が発見される(2003/12/11)
・ MS、IEのURLを偽装できる脆弱性の回避策を公開、ただしパッチは未提供(2003/12/17)
・ IE脆弱性を悪用するアドレス詐称サイトに注意!(2003/12/16)
・ マイクロソフト“月例”のセキュリティパッチ、今月はリリースなし(2003/12/10)
( 大津 心 )
2003/12/24 11:14
- ページの先頭へ-
|