Vistaのカーネル保護策に2つの欠点――Symantec最後の報告書（1/2 ページ）

Windows Vistaでは署名のないドライバをロードさせないというセキュリティ対策が取られているが、そこにも欠点があるとSymantecは指摘している。

[Matt Hines，eWEEK]

　ウイルス対策大手のSymantecが、Microsoftが初期版Windows Vistaに加えたセキュリティ強化策を評価する一連の調査の3件目にして最後の報告書を公開した。同社は同OSのカーネルをロックダウンする取り組みを賞賛してはいるものの、2つの欠点も発見した。

　これまでの2件の報告書と同様、Symantec研究者は、既に公開されているVistaのβ版を分析した。

　ネットワーキングやアカウント管理機能を分析した先の報告書は、Microsoftの一部のセキュリティ関連の開発作業について、同社の実行能力に疑問を呈していた。

　3件目の報告書はおおむねMicrosoftに好意的な意見だが、それでも幾つかの批判が見られる。

　この報告書では、ドライバの署名の必須化や、パッチ対策技術「PatchGuard」、カーネルモードのコード完全性チェック、セキュアブートモードのサポートオプション、Vistaデスクトップの物理メモリに制限付きのユーザーモードでアクセスするなど、Microsoftのカーネル関連の取り組みの多くを賞賛している。

　Symantecは、これらの対策には大きな価値があると考えている。これらは主に、署名のないコードがVistaカーネルに注入されるのを防ぐこと、Vista PCのブート時からアプリケーションの立ち上げまで仮想的な「信頼の鎖」を確立することを目指している。

　全体的に見て、これらの変更は、Vistaカーネルのセキュリティを旧バージョンより――そしてLinuxやMac OS Xなど以前からWindowsより安全だと主張されてきた製品と比べても――「大幅に」向上させると報告書にはある。

　しかし、Symantecの報告書では肯定的な意見に混じって、欠点と考えられる2つの点も指摘されている。この欠点を悪用されれば、Vistaカーネルがリスクにさらされる恐れがあるという。

　この2点のいずれにおいても、Symantecの研究者は、Microsoftがカーネルに追加したドライバ署名技術の欠陥を指摘している。

　不正コードをWindows XPに送り込む最も一般的なメカニズムは、ドライバ――通常、Webサイトやオンラインバナー広告によってエンドユーザーのマシンに知らないうちにインストールされる――を介して送り込む方法だ。

　Vistaでは、そうしたドライバは、認定済みの署名付き証明書がなければダウンロードできない。証明書はMicrosoftやVeriSignなどの信頼できる組織が発行しなければならない。

　このプロセスにより、Microsoftが認可を受けていない何者かが証明書を入手できないようにする限り、これまでカーネルを狙う不正なドライバがもたらしていた脅威はなくなるはずだ。しかしSymantecは、VistaのWINLOAD.EXEとCI.DLLファイルにバイナリパッチをあてることで、ドライバの署名やコードの完全性を確認する機能を無効化することができると指摘している。

　Symantecは、これらのファイルの実行時にパッチを当ててこの問題を悪用することは非常に簡単であり、それぞれのファイルに1カ所だけパッチを当てればいいとしている。これらのファイルはWRP（Windows Resource Protection）によって保護されているものの、比較的容易に変更できると報告書には記されている。

　2つ目の問題は、WINLOAD.EXEで証明書の取り消しがサポートされていないことに関連している。証明書を発行する合法的なソフトが盗まれたり、公開されたり、第三者（具体的に言うと元社員や会社に不満のある社員）により乱用されたら、ドライバの署名によるメリットが「容易に損なわれる」可能性がある。

　ドライバの署名の確認がいったん無効になったら、署名のないドライバがロードされる可能性があるとSymantec研究者は述べている。

　だがSymantecは、Microsoftが2007年初めに提供するVistaのリリース候補第1版（RC1）で証明書の取り消しをサポートすると約束している点を指摘している。