ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Vistaのコードにセキュリティの穴――Symantec報告

» 2006年07月19日 10時23分 公開
[Matt Hines,eWEEK]
eWEEK

 米Symantecのセキュリティ研究者は新しい報告書で、MicrosoftのWindows Vistaには、これまでのWindowsよりも安全性を低める各種の脆弱性があるかもしれないと主張している。

 Symantecが7月18日に公表した調査報告書によると、Microsoftが問題を修正するか、出荷時にこの問題を隠すよう適切にOSを構成しないと、Vistaの多数のソフトウェアコンポーネント、具体的には設計変更されたネットワーキング技術関連の複数のプロトコルが、セキュリティの抜け穴になる恐れがあるという。

 Microsoftは2007年1月にVistaの正式版を提供する予定だ。

 Symantecの研究者は、Vistaの基盤コードの潜在的な欠陥を3種類発見したと報告。その中には、不正な形式のファイルを使ってペイロードを実行する攻撃により、Vistaをクラッシュさせられる恐れがある安定性の問題も含まれる。

 このほかの問題には、目的不明の文書化されていないIPプロトコルと、いわゆるネットワークスタック内深くにある新しいプロトコルの問題がある。

 SymantecはVistaの3種の公開β版のテストを基にこの評価を下し、Microsoftはβ版をリリースするたびに多数の潜在的な脆弱性を取り除いてきたと認めている。

 だが、同社はバグを取り除こうと積極的に努力し、全コードを調べて潜在的な問題を探し出してからVistaに組み込むSDL(Security Development Lifecycle)プロセスを導入しているものの、穴を作らずに膨大なコード基盤を完全に書き換えるのはどんなベンダーにとっても過大な要求かもしれないとSymantec Security Responseのエマージング技術担当ディレクター、オリバー・フリードリヒ氏は語る。

 企業は、Microsoftが危険性のあるあらゆるプロトコルから顧客を守れる最適な構成でVistaを提供するかどうかを最も懸念しているはずだと同氏は指摘する。Microsoftが問題のあるコードに適切に対応できなければ、Vistaは、多数のセキュリティパッチがリリースされたWindows XPよりも安全性が低くなってしまう恐れがあると同氏は示唆した。

 Symantecの報告書についてMicrosoftにコメントを求めたが、回答は得られていない。

 オープンソース団体やSymantecなどのセキュリティソフト企業も含め、すべてのソフトメーカーが新製品を作る際に同じ問題に直面するが、Vistaはコードが幅広く、人気が高いため、問題が起きる可能性がほかの製品よりも大きいとフリードリヒ氏は指摘する。

 「Microsoftは確かに、このネットワークスタックをできるだけ堅牢にして、多数の脆弱性を取り除くという点で進歩しているが、このスタックのような中核コンポーネントを書き直す場合は常に、セキュリティの点で多数の課題に直面することになるということが調査で分かった。安定性の問題とバグの大半は既に修正されているが、最も懸念されるのは新たなネットワークプロトコルの配備と構成だろう。この問題に対処しないままだと、ハッカーがファイアウォールをくぐり抜け、ネットワークを攻撃にさらすことが可能になってしまう」(同氏)

 例えばSymantecは、MicrosoftがVistaにIPv6のデフォルトサポートを組み込むことを潜在的な脆弱性として強調している。新しいファイル交換アプリケーションをサポートするためにWindowsでIPv6を使えば、ファイアウォールの回避や外部からの攻撃が可能になるかもしれないという。

 「ネットワークスタックは非常に高度なコードであり、これまでもバグに悩まされてきた。オープンソース製品でもそうだ。SDLはOS全体の開発に大きな影響を及ぼしている。だが、どんなにがんばっても開発者は人間であり、製品が出荷されて数年経ってからミスをしてしまうこともままある」(フリードリヒ氏)

 同氏は、MicrosoftはVistaのβ版で発見された問題の大半に対処すると見込んでいるが、特に同社が出荷日に間に合わせようと急いでいることもあり、開発中にVistaにもっと多くの欠陥ができてしまう可能性もあると考えている。

 Microsoft幹部らは、Vista正式版からあらゆるセキュリティ上の欠陥を排することは不可能だろうと認めつつも、SDLなどの予防措置により同社の製品セキュリティは大きく前進していると確信していると主張してきた。

 Microsoftセキュリティ技術部門副社長ベン・ファシ氏は6月のTechEdでeWEEK記者の取材に応え、同社はソフト開発プロセスの中で生まれる問題を排除する新しい方法を常に模索しながら、Vista開発においてできる限りの取り組みをしていると思うと話した。

 「Vistaは当社がこれまで構築した中で飛び抜けて安全なOSであり、おそらく誰が提供したOSよりもセキュアだろう。セキュリティには特効薬はないが、当社の戦略は徹底的な防御だ。まずはセキュアなプラットフォームを構築し、それからマルウェアと戦うための技術を適用するという措置を取らなくてはならない。それがまさに当社が進めようとしていることだ」(同氏)

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

SaaS最新情報 by ITセレクト

「電子帳簿保存法」対応のシステムは必要? まだ間に合う? 気になる疑問、対策手段を分かりやすく解説

「電子帳簿保存法」対応のシステムは必要? まだ間に合う? 気になる疑問、対策手段を分かりやすく解説

中小企業でも大丈夫? 「販売管理システム」の導入メリットとその効果、おすすめ製品5選

中小企業でも大丈夫? 「販売管理システム」の導入メリットとその効果、おすすめ製品5選

発注ミスの原因と対策|ミスを起こした場合の対処法と予防する方法

発注ミスの原因と対策|ミスを起こした場合の対処法と予防する方法