Red Hatのマーク・コックス氏、セキュリティについて語る：Focus on People（2/2 ページ）

[Joe-'Zonker'-Brockmeier，Open Tech Press]

問題の発生を食いとどめる

　問題が起こってから修正するというのでは、発生した火災を鎮めるのと基本的に同じで、計画になっていない、とコックス氏は語る。そのため、Red HatやほかのLinuxベンダーでは、セキュリティ問題の影響を緩和するテクノロジーに取り組んでいる。例えば、SELinuxやExec-Shieldは特定の種類のエクスプロイトコードを阻止することにより、システムを保護できる。

　この4月にコックス氏は、脆弱性を緩和するテクノロジーについて記した解説記事を公表した。その中で彼は、Red Hat Enterprise Linux（RHEL） 3および4に備わっているさまざまなセキュリティ機能とそれらによって対処できるエクスプロイトの種類について述べている。

　例えば、2つの「ダブルフリー」脆弱性が説明されている。ダブルフリーとは、1つのメモリアドレスに対してfree（）関数の呼び出しが2回行われる状況である。これはバッファオーバフローにつながる恐れがある。ダブルフリーの脆弱性に対するglibcの「強化」がまだ行われていなかった2003年には、この欠陥が「wu-ftpdやCVS pserverのようなサービスに対する派手な手口の攻撃」の原因になった、と記事には書かれている。

　2004年、MITによるKerberos 5のKey Distribution Centerでダブルフリーの欠陥が見つかり、公表された。しかし、この欠陥に対処すべくRHEL 4のglibcが強化されていたため、「ダブルフリーの脆弱性の悪用は完全に回避され、重大としていたこの欠陥の重要度をより低いランクに下げることができた」という。

脆弱性の深刻さはそれぞれに異なる

　Red Hatは、脆弱性について通知する際にその深刻さの判定も合わせて公表している。公表されたセキュリティの問題の一覧には、それぞれの重要度が4段階で示される。その段階には、ユーザーとのやり取り一切なしにリモートの攻撃者がシステムに影響を及ぼすことが可能なもの（「重大」）から、セキュリティ面にそれなりの影響力を持つがシステムに対してエクスプロイトを実行するのが非常に困難か、エクスプロイトの影響力がわずかと判断されるもの（重要度が「低」）まである。

　Red Hatでは、実際に利用可能なエクスプロイトコードが世間に存在するかどうかによってセキュリティ重要度の分類を変えてはいない。そこには、脆弱性についての報告を行うほかの組織と歩調を合わせるという狙いもある、とコックス氏は言う。「ユーザーにとってのリスクは、脆弱性と危険性、両者の関数として定義される。一方、われわれの勧告に記される判定は、脆弱性だけに基づいており、MicrosoftやApacheのようなほかのベンダーの判定に一致するように行われる。危険性の度合いは時間が経つにつれて変化し、エンドユーザー側の設定や使用法に大きく依存するため、われわれはその部分については言及していない」

Linuxを狙ったエクスプロイトは増えているか

　数年前は、Linuxの普及が進むにつれてLinuxを対象として作られるエクスプロイトコードがますます増えるだろう、というのが一般的な認識だった。Red Hatではリリース後の2年間でRHEL 4に影響を与え得たエクスプロイトの調査を終えたばかりだが、どうやらこの認識は外れていたようだ。「37の脆弱性を対象とした各種エクスプロイトの存在が明らかになっている。その多くはセキュリティ関連のさまざまな新手法によって捕捉され、中にはありそうもない設定を必要とするものもあるため、大半は世間で言われているほど機能していない。あと残っているのは、パッチの当たっていないマシン上でローカルユーザーによるルート権限の取得を可能にする幾つかのカーネルエクスプロイト、そしてパッチの当たっていないWebブラウザに対して作用するエクスプロイトだ」

　「Webブラウザの欠陥を別にすると、最近は攻撃者がエクスプロイトコードを書けるようなリモートの脆弱性がそれほど多くない、というのが実状だ。例えば、Enterprise Linux 4 ASのデフォルトインストール環境の場合、攻撃にされされた重大なセキュリティの問題がリリース後2年で3件しかなかった」

原文へのリンク