Microsoftは、RPCの脆弱性を発見したハッキンググループや外部のコンサルタントを雇い入れ、「かつてない規模」によるVistaのセキュリティテストに取り組んでいる。
「LSD(Last Stage of Delirium)」というハッキンググループを覚えている読者はいるだろうか。
4人のポーランド人のセキュリティ研究者のグループであるLSDは2003年、RPC(Remote Procedure Call)インタフェースの脆弱性を発見したが(この脆弱性は後に、Blasterワームをばらまくのに利用されることになった)、当時、Microsoftがソフトウェアの欠陥への対処に熱心でないとみられていこともあり、LSDのメンバーはこの発見を公表することにした。
現在、LSDのメンバーたちはMicrosoftの社員として、同社が近く投入するOSに対する「かつてない規模の侵入テスト」に取り組んでいる。
MicrosoftのSWI(Secure Windows Initiative)チームのシニアグループマネジャー、ジョン・ランバート氏によると、LSDのメンバーはWindows Vistaに対する疑似攻撃を実施する「社内ハッカーチーム」に含められているという。
LSDのメンバーは全員、ポズナン工科大学出身で、ポーランドのポズナンにあるPoznan Supercomputing and Networking Centerのセキュリティチームのスタッフとして勤務した経験を持つ。
サードパーティーのセキュリティ研究グループや個人ハッカーを雇い入れることは、多くの面で重要な意味がある。それはMicrosoftにとって、ハッキングコミュニティーを受け入れることにより、セキュリティ対策が生ぬるい企業というイメージを払しょくすることを目指した取り組みをアピールするものとなる。
Vistaのコードを検査し、弱点や技術的欠陥、脆弱性がないか調べるためにMicrosoftが雇い入れた外部のセキュリティコンサルタントのリストはまるで、情報セキュリティ分野の人名録のようだ。ランバート氏によると、Microsoft主催の「Blue Hat」カンファレンスにいつも出席している約20人の著名研究者には、評価を行うためにVistaの全ソースコード、仕様および脅威モデルにアクセスすることを許可しているという。
「彼らには何も隠さないようにしている。彼らはあらゆるものにアクセスできる。あらゆる個所をチェックして、できるだけ多くのバグを見つけてもらうためだ」とランバート氏は話す。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.