脆弱性報告の研究者とBlack Hatに、Ciscoが法的措置

[Paul F. Roberts，eWEEK]

　Cisco SystemsのIOSの脆弱性に関する講演が、今年のBlack Hat Briefingsカンファレンスで物議を醸している。Ciscoがカンファレンス主催者に圧力をかけて、IOSシステムの弱点をリモートから悪用する方法についての記述を資料から削除させたためだ。

　研究者のマイケル・リン氏は結局この脆弱性に関する講演を行ったが、講演を行うためにセキュリティ企業ISS（Internet Security Systems）を辞職した（関連記事参照）。

　この脆弱性は、インターネットのバックボーンを形成するCisco機器を走らせているIOS（Internetwork Operating System）の全バージョンに影響し、「デジタル真珠湾攻撃」に利用される恐れがあるとリン氏。デジタル真珠湾攻撃とは、元ホワイトハウスのサイバーセキュリティ責任者リチャード・クラーク氏が作り出した、グローバルインターネットをダウンさせる予期せぬ攻撃を表現する言葉だ。

　Ciscoの広報担当者は、同社がIOSの問題に関するコンテンツを削除させたことを認めたが、その情報は違法に取得されたものであり、同社は知的財産を守っているのだと主張している。

　またCiscoとISSは、カリフォルニア北地区の連邦地裁に対し、共同で差し止め命令と中止命令を請求した。

　ISSのX-Forceの研究者ニール・メータ氏によると、Ciscoがこの問題に対処するための時間的猶予をさらに設けるとISSが決定したことを受け、リン氏はIOSに関するプレゼンテーションを縮小することに同意したという。

　しかしリン氏は土壇場で考えを変え、退職をほのめかした。「マイク（リン氏）はこのプレゼンテーションにかなり力を入れていた」とメータ氏。

　リン氏はISSでIOSの脆弱性研究を行っていた際に、問題の脆弱性を発見した。

　ISSはCiscoにこの脆弱性を報告し、Ciscoはその後これを修正するアップグレードをリリース、問題のある古いバージョンのIOSのダウンロード提供を停止したとリン氏。

　同氏によると、IOSの脆弱性を悪用すると、「ヒープオーバーフロー」を利用して、IOSを搭載したCisco製ルータにメモリを上書きするデータを送ってクラッシュさせることができる。

　オーバーフローを起こすために、リン氏はIOSを操作して、異常を検知する「チェックヒープ」プロセスを無効にし、「制御されていないポインタ交換」と呼ばれる既知の脆弱性を利用して、脆弱なCiscoデバイスに攻撃コードを実行させた。

　リン氏が考えたこの方法を使うと、攻撃者はリモートからIOSの「シェル」にアクセスし、そこからルータをコントロールできる。

　IOS搭載のCiscoルータを掌握すれば、例えば、攻撃者はそのルータを通過するネットワークトラフィックの中身を操作あるいは傍受できるだろうと同氏は説明する。

　Ciscoが講演を辞めさせようと深夜に圧力をかけたという噂がカンファレンス中に広まったため、リン氏の講演に対する関心は高かった。

　この講演では、Black Hatの特徴となっているちょっとしたドラマがあった。リン氏の講演の参加者は初め、「われわれにはどうしようもない状況」のために、IOSの攻撃方法に関する解説は行わないこと、代わりにリン氏はVoIPプロトコルのセキュリティホールについて話すことを伝えられた。

　しかし、そこで劇的な展開が起きた。リン氏は予定を変え、ISSを辞めたことを話し、ISSとCiscoに「IOSの脆弱性について講演したら訴える」と言われたが、それでも講演を行うと語った。

　リン氏は、ハッカーは「既にIOSのソースコードを盗んでおり、それはルータをハッキングするためにほかならない」ため、脆弱性の解説をしなければならないと感じたという。

　同氏は、ハッカーがソースコードを盗んだという疑惑について詳しく語らなかった。そのソースコードがあれば、IOSのセキュリティホールを見つけるのは簡単になるだろう。

　IOSの脆弱性を悪用するためのコードをインターネットワームのようにばらまくのは難しいが、そうした攻撃は不可能ではないと同氏は指摘する。

　Ciscoは2004年5月にIOSのソースコードが一部流出した以外にソースコードの盗難があったとは認識していないと、同社広報担当者は話している。

　IOSソフトの最新版を走らせている企業は、おそらくこの攻撃を受けにくいだろうとリン氏は言う。

　ISSはBlack Hatでこの脆弱性について講演する予定だったが、先週Ciscoから連絡を受け、講演をキャンセルするか、内容を縮小して、CiscoがIOSを攻撃に影響されないようにするためにさらなる猶予を与えることで合意したとメータ氏。

　しかし、リン氏が7月27日にBlack HatでIOSの攻撃方法を解説するつもりだと知ったCiscoとISSは、Black Hat主催者に講演を中止させるよう求め、カンファレンスの資料からこの問題に関する情報を削除するために担当者を送り込んだ。

　この日の朝の時点で、カンファレンスの資料からはIOSの脆弱性に関する20ページが削除され、プレゼンテーションを格納したCDは資料と一緒に配布されなかった。

　CiscoとISSは7月初め、このプレゼンテーションをBlack Hatで行わないことを決めたが、先週になってこのプレゼンテーションの草稿がカンファレンスの資料に載っていることを知ったとCiscoの広報担当者は語る。

　Black Hatの広報担当者は、幹部はまだこの件について弁護士と話している最中であり、コメントはできないとしている。

　メータ氏も、ISSがリン氏やBlack Hat主催者に対してどのような措置をとるかについてコメントを拒否した。

　しかしCiscoの広報担当者は、同社とISSが、リン氏とBlack HatがIOSの脆弱性に関する情報を広めることを防ぐために、一時停止命令と差し止め命令を裁判所に請求したことは認めた。

　多くのBlack Hat参加者がリン氏の行動をたたえ、CiscoとISSが講演をやめさせるために行ったとされる行為に異議を唱えた。

　同カンファレンスに参加した航空宇宙会社の上級システムエンジニア、アリ−レザ・アンガー氏は、ISSはCiscoの圧力に屈したとして怒りをあらわにした。

　脆弱性スキャン技術を販売するISSには、顧客にセキュリティホールの詳細情報を開示する義務がある。

　「顧客として、（ISSは）わたしを『セキュリティホールからの保護は受けるが、その問題がどんなものであるかは教えてもらえない』立場に置くことはできない」（アンガー氏）

　メータ氏は、問題の講演についての対処に失望を示したが、IOSの問題は正確には脆弱性ではなく、「アーキテクチャの問題」であり、ISSは必ずしも顧客に開示する必要はないと主張した。