「Skypeは企業ネットワークに穴を開ける」と専門家が警告

P2P技術を使っているSkypeのネット電話ソフトは、セキュリティ問題や帯域の消費など、ファイル共有ソフトやIMと同じような問題を企業にもたらすかもしれない。(IDG)

» 2005年10月28日 12時47分 公開
[IDG Japan]
IDG

 Skype Technologiesの無料インターネット電話ソフトの人気拡大が、近いうちに、ほかのP2Pソフト技術が近年生み出してきたのと同様のセキュリティ問題を企業にもたらすようになるかもしれない。セキュリティ専門家がこう指摘している。

 この警告は、今週Skypeソフトの2件の重大な脆弱性が報告された後に出されたものだ。

 これら脆弱性のうち1つは、Windows向けSkypeクライアントのバッファオーバーフローのバグで、攻撃者はこれを悪用すると脆弱なシステム上で任意のコードを実行できると同社の声明で説明されている。もう1つの脆弱性はネットワーキングルーチンのヒープオーバーフローのバグで、全プラットフォーム向けのSkypeクライアントに影響する。このバグは同ソフトをクラッシュさせる可能性がある。

 これら問題のフィックスはリリース済みだ(10月26日の記事参照)

 Skypeは、PCユーザーがほかのPCユーザーには無料で、電話利用者には低価格でインターネット電話をかけられるソフトをダウンロード提供している。同社は最近、eBayに26億ドルで買収された(9月13日の記事参照)

 Skypeはこれまでに6100万人を超える登録ユーザーを獲得しており、そのうち30%はビジネス利用のユーザーだと同社は語る。Skypeが採用されているのはほとんど欧州とアジアだが、アナリストは米国でもいずれ広範に採用されるようになると予測している。

 調査会社Gartnerは、eBayのSkype買収によりもっと企業向けの製品が登場する可能性があると見ている。

 その一方でGartnerは、企業ユーザーは「ネットワークセキュリティの問題から、企業ネットワークにおいてSkypeなどのプロプライエタリな音声サービスを使うべきではない」と9月15日のアドバイザリで述べている。

 こうした懸念には幾つかの理由があると業界の専門家は話す。

 「Skypeは巨大なVoIP」であり、企業が通常導入しているネットワーク防御の多くに穴を開けることができると、ファイアウォールなどのセキュリティ製品を提供するSmoothWallのプロダクトマネジャー、トム・ネルソン氏は指摘する。

 ほかのP2P技術と同様に、Skypeではユーザー同士が直接接続を確立できる。またSkypeは「ポートアジャイル」、つまりファイアウォールポートがブロックされている場合に、接続を確立できるほかの開いたポートを探す。「ファイアウォールやNAT(Network Address Translation)層の内側でSkypeを導入している場合、特殊な構成にしなくても、100回のうち99回は通信を確立できる」とネルソン氏。

 その結果、Skypeはセキュアなはずのネットワークにトロイの木馬、ワーム、ウイルスのためのバックドアを作る恐れがあると同氏は警告している。また、同ソフトは通常のようなセキュリティ上の配慮なしで、ユーザー間で企業データを自由に共有する経路にもなる可能性がある。

 さらに、KazaaなどのP2Pアプリケーションと同様に、Skypeでは接続を共有できるため、ホストコンピュータやネットワークをほかの人も利用できるようになるとHurwitz & Associatesのアナリスト、ロビン・ブロア氏は指摘する。

 それにより、「Skypeはたくさんのネットワーク帯域を使う可能性があり、それがビジネスアプリケーション・サービスの妨げになるかもしれない」とNovartis PharmaのグローバルITセキュリティ責任者アンドレア・ブフナー−ブリュール氏。

 またSkypeはSIP(Session Initiation Protocol)などの標準プロトコルではなくプロプライエタリなプロトコルを使っているため、同ソフトは「脆弱性という視点から見ると、未知の存在」だとGartnerのアナリスト、ジョン・ペスカトーレ氏は語る。

 「すべての非標準アプリケーションはユーザーの環境に不要なリスクをもたらし得る。結局、誰もこのようなアプリケーションに組み込まれているものすべてを把握しているわけではない」(ブフナー−ブリュール氏)

 少なくともこれまでのところ、Skypeに対する直接的な大規模攻撃は起きていない。しかし、同ソフトの人気と導入基盤は拡大しているため、ハッカーの標的にされることは避けられないだろうとアナリストらは言う。

 企業は、自社ネットワーク上での許可を受けたSkypeの利用と無許可での利用の両方に目を光らせなければならないとペスカトーレ氏。

 またIT管理者は、デスクトップでのローカル管理者権限の拒否、コンテンツコントロール、ネットワークゲートウェイでの管理などの対策を講じなければならないかもしれない。ユーザー向けに明確なポリシーと手続きを策定する必要もあるかもしれないとブフナー−ブリュール氏は語る。

 結局のところ、Skypeの利用に対しては、企業がインスタントメッセージング(IM)などのほかのP2Pアプリケーションに対処してきたのと同じやり方で対応しなくてはならないとブルーナー氏は話す。「しかし、おそらくはまず誰かに何か悪いことが起きるだろう」

Copyright(C) IDG Japan, Inc. All Rights Reserved.

注目のテーマ