ニュース
» 2006年07月26日 17時47分 公開

Vistaのセキュリティ対策が抜け穴に――Symantec、2つ目の報告書

Windows Vistaではセキュリティ強化策としてユーザー権限の昇格を制限する機能が導入されている。だが、攻撃者がこの機能を回避する可能性があるとSymantecは指摘している。

[Matt Hines,eWEEK]
eWEEK

 米Symantecのセキュリティ研究者が、Microsoftの次世代OS「Windows Vista」の潜在的なセキュリティ問題に警鐘を鳴らす3件の報告書の2件目を公表した。今回は、ユーザーアカウント制御と権限昇格機能を取り上げている。

 この報告書は、同社がVistaのネットワーキング技術に存在すると考えている欠陥を取り上げた7月半ばの報告書に続くものだ。今回は、MicrosoftがVistaのセキュリティ強化策として宣伝しているツールの一部が、抜け穴になってしまう可能性があると指摘している。

 具体的には、VistaのUAP(ユーザーアカウント保護)機能に存在するとSymantecが考えている幾つかの欠陥を詳説している。この機能は、ウイルスが感染マシン上で自らの権限を昇格させて、感染を広げたり、感染マシンにほかの損害を与えるのを制限するために設計されている。

 LUA(最小特権ユーザーアカウントあるいは制限付きユーザーアカウント)とも呼ばれるこのシステムは、幾つかの実装の欠陥により、外部の攻撃者から回避される可能性があるとSymantecは主張している。何者かがコンピュータのアクセス権限を昇格させて、Vistaを走らせているデスクトップを乗っ取ることが可能になるかもしれないという。

 同社の報告書で取り上げられているもう1つのセキュリティ問題は、「Mandatory Integrity Control」というVistaの新機能に関係している。この機能も、権限の昇格を制限するためのものだ。

 これらツールが追加されたにもかかわらず、攻撃者はこれらを回避して権限を昇格させ、コンピュータを攻撃できるだろうとSymantecは主張する。

 Symantecの研究者は、同社の報告書で詳説されている問題は、Vistaの3種のβ版のものだと繰り返し強調してきた。Microsoftがβ版をリリースするごとに多数の潜在的な脆弱性を取り除いてきたことも彼らは主張した。

 Symantecの研究者はまた、Windowsの膨大なコード基盤を穴を作らずに完全に書き換えるのはどんなベンダーにとっても過大な要求かもしれないとも述べた。

 Microsoftはまた、Symantecから批判のあった脆弱性は必ずしも正式版に当てはまるとは限らないと指摘している。Vistaの正式版は2007年1月にリリースされる予定だ。

 Vistaの開発過程を通して、MicrosoftはSDL(Security Development Lifecycle)というプロセスを適用してきた。これは、全コードを調べて潜在的な問題を探し出してからVistaに組み込むというものだ。

 MicrosoftはSDLと、ワーム、ウイルス、マルウェアなど進化する脅威から顧客をより安全に守る「根本的なアーキテクチャの変更」を通じて、Vistaの「攻撃面」を最小限にしたと主張している。

 この取り組みは、システムとアプリケーションの完全性を向上させることを目指し、組織がネットワークをよりセキュアに管理し、分離するのを支援する。

 Microsoftの広報担当者はSymantecの調査について、「当社はこのフィードバックに基づいてVistaの改良を続けている」と語った。

 「Windows Vistaの初期ビルドの問題に焦点を当てても、これら機能の品質と奥深さを正確に示すことにはならない」とこの担当者は述べた。

 Symantecの研究者は前回の報告書で、Vistaの基盤コードの潜在的な欠陥を3種類発見したと伝えた。不正な形式のファイルを使ってペイロードを実行する攻撃により、Vistaをクラッシュさせられる恐れがある安定性の問題と、目的不明の文書化されていないIPプロトコル、いわゆるネットワークスタック内深くにある新しいプロトコルの問題だ。

 Symantecは以前から、既存版Windows用の企業向けセキュリティ製品で売り上げの大半を稼いできた。同社とMicrosoftは依然として、両社の担当者が言うところの「近しいパートナー」の関係にある。

 しかし、Microsoftは新版OSを既存版よりも安全にするために多大な努力を投じているのに加え、情報セキュリティ市場に踏み込んできている。これにより両社は、Symantecの中核事業分野であるデスクトップウイルス対策製品など、幾つかの分野で直接張り合うことになる。

 Symantecの研究者は、最近のVistaの潜在的な欠陥に関する調査は、同OSに対するユーザーの懸念を受けて行ったものであり、製品セキュリティを向上させようとするMicrosoftの取り組みに傷を付けようとするものではないと主張している。

 「SDLはOS全体の開発に大きな影響を及ぼしている。だが、どんなにがんばっても開発者は人間であり、ミスをしてしまうこともままある」とSymantec Security Responseのエマージング技術担当ディレクター、オリバー・フリードリヒ氏はVistaについて語った。

 「Microsoftだけでなく、セキュリティベンダーも含めすべての企業が、新製品に脆弱性を作り出してしまいがちだ」(同氏)

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -