ネットの「救世主」、真相を語る--TCP脆弱性の発見者が講演

　カナダ・バンクーバー発--インターネットを救った男が「あれは本当に何でもなかったのだ」と述べている。

　インターネットでのデータ転送方法の欠陥に関する自らの研究が、過剰反応ともいえる大量のニュース報道を生んでしまったPaul Watsonは、こうした世間の高すぎる関心に戸惑いを感じている。

　「20日（現地時間）にバンクーバーに到着し飛行機を降りてみると、いきなり全く別の世界が広がっていた」（Watson）

　Watsonが出席したセキュリティカンファレンス「CanSecWest 2004」は、過去4年間を上回るメディアの関心を集めた。Rockwell Autometionの研究者であるWatsonは過去24時間、新聞やテレビ・ラジオの取材電話に応じていた。そして地元紙のなかには、インターネットの救世主という壮大な称号を与え（押しつけ、といったほうが良いかもしれない）、彼の写真を1面に掲載したものまであった。

　こうした騒ぎが狂気じみているというのは、つぎのような理由があってのことだ。つまり、広く報じられているインターネットの脅威--攻撃者が世界中のすべてのネットワークを崩壊させるおそれがあるという脅威--が実際にはほとんど存在せず、最悪の事態でも大した被害になることはない。

　Watsonは今週、大げさすぎる報道の所為で、「それほどリスクが大きくないことを考えると、異常に高い関心」を呼んでいると述べていた。また、大手インターネットサービスプロバイダ（ISP）のほとんどは既にこの問題に対応済みであることから、「小規模なネットワークに個別の攻撃が仕掛けられる可能性はあるが、すぐに復旧できるはずだ」とも述べている。

　そんなWatsonが、23日についにCanSecWest 2004でプレゼンテーションを行い、状況を詳しく説明するチャンスを得た。カンファレンス運営者のDragos Ruiuは、Watsonのスピーチの前置きで、「期待はずれかもしれないが、少なくとも本当の話を聞くことができる」と述べた。

ネット脅威の具体的内容

　インターネットの大部分で使われているデータ送信方法に見つかったこの欠陥は興味深いものだ。これにより、ハッカーはTransmission Control Protocol（TCP）セッション攻撃と呼ばれるテクニックを用いて、2つのネットワーク機器やコンピュータの接続に偽造したデータや命令を挿入できてしまう。ただし、この欠陥を悪用するのは簡単なことではない。

　この攻撃のうち、最も一般的で、最も簡単に実行できるのはTCPリセットというものだ。これは、2つのデバイス間を移動するデータにリセット命令を挿入するというもので、攻撃の成否や攻撃者が送らねばならないデータパケット数は、デバイスで使用されているデータバッファ（ウィンドウと呼ばれる）のサイズに左右される。攻撃を仕掛けるには、リセット命令と、現在のウインドウに含まれるシーケンス番号が入ったパケットを送りつけるだけでよい。

　シーケンス番号は32ビットなので、最大約43億個のパケットをつなげることが可能だ。多くのデバイスでは14ビット（＝16384）のウィンドウサイズが採用されているため、攻撃者がウィンドウを攻撃できる確率は18ビット分の1、すなわち約26万分の1となる。したがって、攻撃者が約26万個のパケットを送れば、パケットがウィンドウにヒットし、正当なコマンドとしてデバイスに受け入れられることになる。

　しかしこの攻撃が成功するためには、ポート番号と呼ばれる別の番号をも推測しなければならない。ポートとは、アプリケーションがデータ送信に用いているアドレスのこと。正当なポートは全部で約4万8000存在するが、ほとんどのデバイスでは、特定の機能に予想のつきやすいポート番号を使用している。Watsonは、攻撃者が50種類のポート番号を試せば成功する可能性があるものの、ただし攻撃の成否はオペレーティングシステム（OS）に依存すると強調した。

　理論的には、10億パケットもの非常に大型のウィンドウと単一の既知のポートを利用しているデバイスならば、4個のパケットで攻撃できてしまう。こうした数字は多くのメディア報道で取り上げられているものだが、実際にはこれほど大きなウィンドウは存在した試しがない。

　この攻撃のバリエーションとして、新規接続を要求するパケットや、セッションを乗っ取りを試みる別の命令を送るという2つの方法があるが、これまでほとんど無視されてきた。どちらの手法も実行ははるかに困難だ。

　匿名希望のある有名なセキュリティ専門家は、先週ホテルの自室で、この脆弱性を悪用するプログラムを作成したという。この専門家によれば、今回の件で唯一興味深いと思えたのは、ルータがランダムなソースポートではなく、予測できるソースポートを使用する傾向があることであり、このことから攻撃がいっそう仕掛けやすくなっているという。