「カーネルバグ月間」のハッカーが語る、「脆弱性開示の倫理」
11月を通じ、毎日1件ずつさまざまなOSの脆弱性実証コードを公開してきた「カーネルバグ月間」を展開してきたハッカーがeWEEKのインタビューに応えた。
矛盾に聞こえるかもしれないが、カーネルバグ月間(MoKB)プロジェクトを運営しているハッカーは、「責任ある開示」の意義を信じていると話した。「LMH」と呼ばれるこの男性は11月を通じて、WindowsやLinux、Mac OS X、Solaris、FreeBSDといったOSに含まれる未パッチのカーネルレベルの欠陥の実証コードを、毎日1件ずつ公開してきた。eWEEKのシニアエディター、ライアン・ナレインのインタビューに応え、「LMH」氏が同プロジェクトの目的を説明し、脆弱性開示の倫理を論じ、セキュリティ上の欠陥を軽視するソフトベンダーを厳しく批判した。
―― 自己紹介をお願いします。LMHとは誰ですか。
LMH もちろんわたしにも普通の名前があります。LMHは実は本名にちなんでいます。これを“隠れみの”にしているのは、わたしは公開メーリングリストやニュースメディアなどに名前が出てもかまわないんですが、自分の仕事で認められたいからです。
―― どうしてMoKBプロジェクトを始めたのですか。カーネル関連のバグに的を絞っているのは特別な理由があるのですか。
LMH 当初の目的は、カーネルランドのコードの現状を概観することでした。しかし、一部のバグは、適切な開示や研究者の貢献の公表が行われることなく、ひそかにパッチが当てられているらしいということに対する問題意識もプロジェクトの原動力になりました。
―― バグをひそかに修正するのは問題でしょうか。Microsoftは、自社で発見した問題はすべて秘密裏に修正するとしており、その理由について、情報を公開するのは攻撃者に手を貸すことにしかならないため、と説明しています。
LMH 開発者やベンダーがありのままの情報を提供しないのは間違いです。実際には、秘密裏に修正するのは攻撃者を助けることになります。リバースエンジニアリングを行ったり、単に更新履歴を調べても、誰もそうした修正には気付かないと会社の誰かが考えると、間違いなく、その本人も、会社も、製品のユーザーも、不利益を被ることになります。
前にも言いましたが、わたしは「完全開示」の支持者ではありません。ですが、時にはこう思います。開発者やベンダーは、脆弱性についていち早く報告を受ける特権や利点を享受するに値しないと。
―― あなたが報告したLinuxカーネルのバグは、DoS(サービス妨害)攻撃を招く恐れがあるが、リスクの低い問題にすぎないという批判を見たことがあります。あなたのプロジェクトは物事を誇張している心配はありませんか。
LMH 確かに、わたしが報告した問題の一部はリスクの低いものです。しかし、ほかの影響がある問題もあります。DoS攻撃に関連する問題は、ファイルシステムのバグに関して言えば、ファイルシステムの破損にもつながります。Linuxでは特にそうです。わたしは問題を誇張して取り上げてはいません。セキュリティ上の影響だけを説明していて、そのために一部の問題の重大さがよく伝わっていないだけなのです。
一部の開発者がこうした点について理解していないために、批判が出ているのかもしれません。一部の人は、自分で調べるべきことについてもわたしに頼ろうとしていて、わたしが特定の問題の関連する詳細情報をすべて提供しないと、だまされたと感じてしまうようです。
―― MoKBプロジェクトでバグを報告した製品のベンダーから連絡がありましたか。
LMH はい。意外にも、いわゆるプロプライエタリソフトのベンダーは、これまで極めて前向きな反応を示してくれています。否定的な反応や個人攻撃はありません。MicrosoftとAppleは一部の事項について考えを変えつつあるようです(ただ、ほとんどのエンドユーザーはまだ混乱していて、これは特にMac OS Xの問題で顕著です)。
―― AppleやMicrosoftの反応はどんなものでしたか。彼らはどんな話をしようとしましたか。
LMH Microsoftセキュリティ対策センター(MSRC)からいいフィードバックがありました。彼らは、問題に取り組むのに役立つ追加情報があれば、何でも教えてほしいと要望するとともに、わたしがカーネルランドのインタフェースについてチェックしたり調べたりするのに利用できるような情報を、快く提供してくれました。わたしはAppleのセキュリティ問題を担当する社員とも話し、彼らは必要に応じて協力し、情報を共有することに意欲的だと感じました。
両社はいずれも、今後、問題の報告を行うときには前もって予告してもらえないかと頼んできました。自社製品に影響する問題への対応を計画するためとのことでした。
―― これまで脆弱性を報告してきたMac OS X、Windows、無線ドライバ、Linux、FreeBSD、Solarisのほかにも、新しい分野をフォローする計画ですか。
LMH スマートフォンやPDA型の端末を見ていくつもりです。Bluetoothの問題が発見できる可能性があります。BSDの各種バリエーションにも、まだバグが見つかるかもしれません。また、無線関連のバグが出てくるのは確実です。
実際、われわれは「出荷中の」IntelベースのMac、例えばノートPCの新型MacBookなどに関連する、少なくとも1つのAirPort(日本ではAirMac)のバグを調べているところです。ただ、この問題については、対策がなされるはずです。
関連記事
- Mac OS Xでさらに複数の脆弱性報告――カーネルバグ月間プロジェクトで
- Mac OS Xに深刻な脆弱性
- Windowsに新たな脆弱性報告――カーネルバグ月間プロジェクトで
- Apple Airportのドライバに脆弱性――「カーネルバグ月間」初日に報告
11月を通じて1日1件ずつOSのバグ情報を報告するプロジェクトで、Apple Airportの脆弱性情報とコンセプト実証コードが公開された。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.