Zotob発生――そのとき、Microsoftの緊急対策室は(1/3 ページ)

プラグ&プレイの脆弱性を修正するパッチのリリースから実証コードの公開、そしてZotobワームと亜種の発生――。一連のインシデントに対し、MSの緊急対策室はどのように対応したのか、その動きを振り返る。

» 2005年08月29日 20時53分 公開
[Ryan Naraine,eWEEK]
eWEEK

 Microsoftが8月9日に、Windowsのプラグ&プレイ(PnP)機能の「緊急」レベルの脆弱性を修正するパッチ「MS05-039」をリリースしたとき、Microsoftのセキュリティ対策センター(MSRC)では一様に不安が広がっていた。

 ワシントン州レドモンドのソフトウェア技術者たちは、当初からトラブルの予感を感じ取っていた。SlammerおよびSasserというワームが登場してから1年以上が過ぎて出現した今回のPnP脆弱性は、MSRCのプログラムマネジャーを務めるスティーブン・トゥールーズ氏にとって、混乱と狼狽、そしてこれらのワームに敢然と立ち向かったという誇りが複雑に入り交じった記憶を呼び起こすものであった。

 Slammerが出現したとき、同氏はガソリンスタンドにいて、カーラジオのニュースでそのニュースを知ったという。「ポケベルが鳴り、けげんそうな顔をするガソリンスタンドの従業員を後に、タイヤのきしみ音を立てながら大急ぎでレドモンドに車を走らせ、ワームに対処する作業に取りかかった」と同氏は振り返る。

 今回は異なる展開になるように思われた。「非常に統制の取れた1週間だった」とトゥールーズ氏は取材で語っている。同氏は、最近の「Zotob」ワーム攻撃が猛威を振るっていたときにMSRCが特別に設置した「緊急対策室」で取材に答えた。

「不安」はパッチリリース直後から

 「この脆弱性については、総合的な対応プロセスを既に策定していた。今回は遙かに準備が整っていた。われわれのプロセスは非常にうまく機能している」と同氏は話す。

 トゥールーズ氏の説明によると、このプロセスは8月9日のパッチ提供よりもずっと前に開始したという。

 「重要なアップデートを行うときはいつも、攻撃のベクトルを見極めるようにしている。攻撃者がどんな方法で脆弱性に付け込もうとしているのか、ワームを作成して解き放つのは容易なのか、といったことを検討するのだ。われわれは攻撃者がするのと同じようにして弱点を攻撃することにより、これがトラブルに発展するかどうかを早い段階で予測することができた」と同氏は話す。

 「8月には3つの緊急レベルのセキュリティ情報を発行したが、プラグ&プレイの脆弱性の場合、Windows 2000に影響するリモートの非認証攻撃というベクトルをわれわれは予想していた。リモートの非認証攻撃のベクトルが存在する場合は緊急事態と見なされる」(トゥールーズ氏)

 トゥールーズ氏をはじめとするMRSCのスタッフは例によって、メディア各社に連絡し、今回の脆弱性の深刻度を強調した。

 「その時点では、今回の脆弱性に不安を感じていた。パッチをリリースした直後に発行したセキュリティ情報は、Windows 2000のユーザーは最優先のアップデートとしてMS05-039を適用する必要があるという内容だった。われわれはそのことを最初に強調したかった。Windows 2000のユーザーには、この警告に注意を払ってもらう必要があるからだ」(同氏)

 その後、ダウンロードセンターの障害が大きな混乱を引き起こした。「緊急」レベルのセキュリティ情報の1つ(ならびにInternet Explorerのコード実行に関する欠陥に対するパッチ)が損傷した結果、デジタル証明が壊れ、それを組み込むことができなくなったのだ。MSRCはパッチの提供をいったん中止し、問題の原因を調査した上でセキュリティ情報を再発行した。

 「われわれはセキュリティ情報を発行したら直ちに、あらゆる人々がそれを入手できるか確認するために監視を始めるようにしている。IEの問題に対処する必要はあったが、PnP問題も含め、ほかはすべてうまくいった。われわれは、セキュリティコミュニティーの反応を見るためにディスカッションリストをチェックする必要もあった」とトゥールーズ氏は説明する。

 MS05-039が出た直後の反応は予想されたものだった。セキュリティメーリングリストでは、ハッカーらがPnP脆弱性の深刻度や、それに付け込む方法について公然と議論していた。Microsoftはこういった動きを監視し、最初のコンセプト実証コードが登場するのを注意深く待ち受けた。

 8月11日、最初の実証コードがFrSIRT(French Security Incident Response Team)のWebサイトに掲載された。全部で5つのWindows脆弱性実証コードが公開され、これにはPnP脆弱性の実証コードも2つ含まれていた。

       1|2|3 次のページへ

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ