ITmedia エンタープライズ

　Microsoftがサードパーティ製ソフトウェアドライバの認定プロセスを強化すると発表してから数カ月が経った。しかし著名なセキュリティ企業によると、同社はいまだに、Windows 2003が稼動するマシンからユーザーの重要な情報が漏洩しかねない問題を持つNICに承認を与えているという。

　この問題は、イギリス・サットンのNext Generation Security Software（NGSSoftware）が6月9日に公開した警告によって明らかになった。

　Microsoftから、この報告に対するコメントは得られなかった。

　NGSSoftwareのアラートによると、Windows Server 2003に含まれているNICドライバのうち、少なくとも2つにセキュリティホールが存在する。これを悪用すれば、システムに蓄積されたデータが、イーサネットの「フレーム」やネットワーク上に送られるデータストリームの中に含まれ、外部に漏れる可能性がある。

　NGSSoftwareの研究員で、アラートの執筆に当たったクリス・パジェット氏によると、このアラートでは、VIA Technologiesの「Rhine II」イーサネットコントローラとAMDのドライバ群「PCNet」ファミリについて脆弱性が指摘されている。

　ただし、NGSSoftwareがテストを行ったのは、Rhine IIとPCNetドライバの2つだけだ。パジェット氏は、他にも数多くのWindows Server 2003用NICドライバがこの問題の影響を受けるかもしれないと述べている。

　NGSSoftwareが報告した問題は、マサチューセッツ州ケンブリッジにあるセキュリティコンサルティング企業、@stakeが以前に発見した問題の変形である。この問題はほぼ1年前に指摘されたもので、今年1月に明らかにされた。

　IEEEの標準仕様では、イーサネットネットワーク経由でやり取りされる情報のストリームは、少なくとも46バイト長の「フレーム」の形でやり取りされねばならない。

　しかし、IPなどの上位プロトコルのデータ長が46バイト以下の場合、ソフトウェアデバイスドライバは、フレームの「パディング」と呼ばれるプロセスにおいて、イーサネットフレームのうち空白のスペースを、「0」の文字列など利用されないデータで埋めるようになっている。

　@stakeの研究者は、多くの主要なNICベンダーによって書かれたソフトウェアドライバで、フレームのパディングに際し、無意味なデータの代わりに、マシンからランダムに引き出した実データを利用できることを発見した。

　このとき@stakeの研究者は、IPの拡張であるICMPを用いて、メッセージを組み立てられるという形で問題をデモンストレーションした。この研究者は、パディングに用いられるフィラー（フレームを埋めるためのデータ）情報の中から、パスワードやWebブラウザのセッションに関する情報をキャプチャした。

　NGSSoftwareは、TCP交換に用いられるパディングの中から情報が漏れることを発見した。パジェット氏は、他のプロトコルでも同様に同じ脆弱性が見られる可能性を指摘している。

　同氏によると、この問題は、インターネット経由でやり取りされる情報に影響を及ぼすことはない。しかし、もし攻撃者が同一のネットワーク内にいた場合、マシンやパスワードの漏洩や口座番号、その他の情報の漏洩の危険にさらされることになるという。

　たいていの組織にとって、この問題は「低リスク」ととらえられるだろう。しかし、Windowsプラットフォーム上で安全なサーバを稼動させている企業や組織にとっては、大きな問題となる。

　「もし、トップシークレットを扱う政府組織やセキュリティに細心の注意を払うべきサーバがあるような場合、そのサーバと同一のネットワーク上にいる誰かによって情報が盗み出される可能性がある」（パジェット氏）

　Microsoftは、NICドライバを自社で開発することはない。同社から提供される仕様を元に、NICハードウェアベンダーやその他のサードパーティが開発を行っている。

　しかしMicrosoftは、これらをWindowsのCDに同梱する前に、すべてのドライバについて認定を行っている。

　ドライバからの情報漏洩という問題が明らかになった後、MicrosoftはCERT Coordination Center（CERT/CC）のWebサイトで公開された文書の中で、ドライバ認定プログラムの中に、情報漏洩問題に対するテストを含める方針を明言していた。

　しかし、最も直近のWindows Server 2003に搭載されているドライバに問題が存在したことから、これは空約束に過ぎなかったことが懸念されるとパジェット氏。

　問題のあるドライバを厳しくチェックしなかったMicrosoftの落ち度も、この問題が幅広いことの一因だろうとパジェット氏。

　Microsoftは、ソフトウェアの修正についてもサードパーティベンダーに任せ、認定を与えている。これらの企業にソフトウェアアップデートするよう強制しない限り、Microsoftはドライバ認定に際して別のやり方を模索するか、あるいは標準的なネットワークドライバのサポートなしにWindows 2003のCDを出荷するという、あまりよろしくない方法を選ぶかを余儀なくされるとパジェット氏は言う。

　このジレンマをすぐ解決することは難しそうだ。

　この問題が発見されてからほぼ1年が経つが、CERTが公開した、問題の影響を受けるハードウェア、ソフトウェアベンダーのリストによると、大半は、彼らの製品がこの問題に対して脆弱なのかそうでないのかを明らかにしていない（http://www.kb.cert.org/vuls/id/412115）

　パジェット氏は、この問題に関心を持つ組織はCERTのリストをチェックし、利用しているドライバに情報漏洩の脆弱性があるかどうかを確認するよう推奨している。

　また、CERTに対してレスポンスを返していない企業はそうするよう奨励されるべきだし、必要に応じて、修正したドライバを顧客に向けて供給すべきだと同氏は述べている。