| エンタープライズ:ニュース | 2002/08/06 20:37:00 更新 |
DEF CON X Report:相次ぐ.NETへの手厳しい意見
「10年前に初めて開催したときの参加者は110名。3年ももつとは思わなかった」――DEF CON創始者で現ブラックハットCEOのジェフ・モス氏は昔を懐かしむように、こう述べた。
参加者が揃うDEF CON2日目。この日公表されたDEF CON X参加者の人数は、なんと5000人だった。
「10年前に初めて開催したときの参加者は110名。3年ももつとは思わなかった」――ジェフ・モス氏(コードネームは“Dark Tangent”。DEF CON創始者で現ブラックハットCEO)は昔を懐かしむように述べた。元々ハッカーコンベンションだったDEF CONだが、最近では一般の企業のシステム管理者やベンダーからの参加者も目立つようになり、その様相は変化しつつある。
当初は10代だったモス氏も、現在では結婚し、家族を持つ身となった。しかしそれでも、「楽しみながら、できる限り続けていきたい」という。DEF CONの内容も、かつてのような“濃い”ものから、一般化する傾向にあるようだが、同氏の言葉どおり、今後もできるかぎりDEF CONが継続するよう期待したい。
.NETに存在する4つの問題
さて、そのDEF CON Xで行われた講演だが、マイクロソフトのセキュリティに対する考え方を問うものが多くみられた。
ウイルスMDのエンジニアリング担当ディレクター、セス・フォジー氏は、8月3日に行われた「.NET Security Issue」(.NETのセキュリティ問題)という講演の中で、マイクロソフトの最近のセキュリティに対する問題点を指摘した。
この講演でフォジー氏は、タイトルのとおり、現状ではβ3の段階であるMicrosoft Windows .NET Serverに関して複数のセキュリティ上の問題点を指摘した。中でも強調されたのは以下の4点である。
- Windows Product Activation(WPA)
- リモート・アシスタンス機能
- 無線接続機能
- マイクロソフトのポリシー変更
最初のWPAは、Windows XPでも採用されて物議を醸したシステムだ。ハードウェアの情報を元に、ユニークな50桁のハッシュ値を作成し、それをマイクロソフトに送付するというものだが、この結果、ハードウェアを交換するだけでもOSを使用できなくなってしまう。フォジー氏は、これはBSA(Business Software Alliance)の悪用につながると非難し、マイクロソフトに対し、直ちにWPAの採用を止めるよう促した。
リモート・アシスタンス機能も、Windows XPおよび.NETで採用されたもので、初心者ユーザーなどが簡単にサポートを受けられる仕組みを目指している。しかしながら、この機能ではパスワードが必須となっておらず、簡単にリモートからの操作ができてしまう。この結果、バックドアやトロイの木馬、ウイルスなどを仕込まれてしまう危険性がある。
この対策としてフォジー氏は、「セキュリティポリシーを設定すること」「エンドユーザーに対するトレーニングを行うこと」「VNCやpcAnywehre、BackOrifice(!)を使用すること」を推奨した。
また、.NETでサポートしているWEPおよび802.1xの無線接続機能だが、これについては既に、ウォードライビングといった危険性が存在するほか、WEPの実装に関する脆弱性が指摘されているのはご存じのとおりだ。
この問題への対策としてフォジー氏は、「802.1xを使用する場合にはRADIUS認証とVPN/ファイアウォールを使用すること」「来年、802.11iがリリースされるまで待つこと」、あるいは「無線LANは使用しないこと」といった対策を挙げている。
ポリシー変更の余波
フォジー氏は最後に、マイクロソフトのセキュリティに関するポリシーも批判の対象とした。
マイクロソフトは先日、従来からのパートナー制度、「Microsoft Security Partners Program (MSPP)」を廃止し、「Microsoft Gold Certified Partner for Security Solutions (CPSS)」に切り替えた。だがこのプログラムでは、比較的小規模のセキュリティサービスプロバイダーは参加できなくなった。CPSSとなるには、最低4名のMCSEが所属し、しかもマイクロソフトに年間1450ドル以上(米国の場合)を支払う必要があるからだ。
「これまでマイクロソフトの脆弱性発見に寄与していたのは、比較的小規模な企業に属するセキュリティ技術者であり、(CPSSは)これらを排除するものだ」(フォジー氏)。
同氏はさらに、これらの提携企業が、マイクロソフトの競合企業を陥れるような振る舞いをすることも可能だと指摘する。
例えば、CPSSであるインターネット セキュリティ システムズ(ISS)は、2002年6月、BugTraqメーリングリストでApacheの深刻な脆弱性を公開した。しかし、ISSが脆弱性を発見してから、情報が公開されるまでの期間はわずか1日。Apacheファウンデーション側はパッチ作成に全力を尽くしたというが、この日程では、パッチ作成は現実的には無理であろう。
マイクロソフト製品に脆弱性が発見された場合、通常30日間のパッチ作成期間が用意されることに比べると、この「1日」という猶予期間は非常に短い。これにはさまざまな見方があるだろうが、フォジー氏は、「これはIISの競合であるApacheを陥れようとしたものだ」と力強い口調で述べた。
同氏はさらに、「このようなポリシーの変更は、.NET Serverの採用において非常に重大な問題となりうる」と述べ、マイクロソフトに対し以下のような希望を挙げた。
- ベータではなく、早急に正式版をリリースすること
- 最良のセキュリティポリシーは問題点を認め、対処すること。問題の発見者に制限をかけるべきではない
「リリース前にもっとセキュリティの検証を」
グローバル・インターセックのマイケル・モーガンスターン氏とトム・パーカー氏による「Vulnerability Disclosure」というパネルセッションでも、同じテーマに触れるディスカッションが見られた。
「(CPSSのような)プログラムはビジネス的には正しい。しかしマイクロソフトはインターネットコミュニティが直面している問題を誤解している」(モーガンスターン氏)。
こうしたプログラムの下では、マイクロソフト製品の問題点はすべてマイクロソフトに集まり、同社より発信されることになるが、同氏はこのプロセスには問題があると指摘する。
まず、このような状況を作り出せるのは、マイクロソフトと同社との契約に同意した企業の間だけであり、一般に公開される情報は、今まで同様コントロールすることはできない。またこれらの企業は、それまで情報を得てきた外部のソースから孤立する可能性がある、というリスクを抱えることになる。そうした情報のほとんどは、彼ら自身で得た情報ではなく、非公式的な世界で、個々の技術者とのつながりの中から得てきた情報だからだ。
セキュリティコミュニティは、今の仕組みには明らかに問題があるとし、マイクロソフトが新しいポリシーを作るよう望んでいる。
ある例では、Windows XPがリリースされた直後に、それに関する脆弱性がマイクロソフトに報告されたが、肝心の情報は2カ月もの間、公開されなかったという。このような状況下で問題を避けるためには、パーソナルファイアウォールなどのソフトウェアを用い、ユーザー個々が自衛するしかない。そうした状況を知りながらも、マイクロソフトはあえて、問題を公開しないほうを選択していると指摘する。
こうした状況を踏まえてか、最近では、.NETに関する問題点はマイクロソフトに直接報告されるのではなく、一般のセキュリティフォーラムに公開されるようになってきた。こうなればマイクロソフトは、パッチを速やかに作成するか、何らかの対策方法を告知するしかない。
モーガンスターン氏は、「(マイクロソフトは)リリース前に、もっとセキュリティの検証を行うべきだ。それが一番簡単な方法だからだ」と語る。
仮にこれがソフトウェアではなく、一般の消費者向け製品だとしたらどうだろう? 信頼性に欠けるものを消費者に提供する、などということは考えられないはずだ。同氏はまた、そうした態度を取るのは、彼らのマーケットシェアからすれば当然のことであるとも述べている。
関連リンク
DEF CON[烏山雄大&坂恵理子(三井物産GTIプロジェクトセンターコンサルタント),ITmedia]
