Ilfak Guilfanovは、誰もが名前を知っているような有名人ではない。
しかし、このロシア人ソフトウェア開発者は、間もなく有名人の仲間入りを果たすことになるかもしれない。なぜなら、彼が作成したMicrosoft Windows用セキュリティパッチは、非公式なものであるにも関わらず、世界中のコンピュータに次々にインストールされたからだ。
SANS InstituteのInternet Storm CenterおよびF-Secureのセキュリティ専門家らは、それぞれGuilfanov作成のパッチを適用するよう推奨したが、これは異例のことだった。このパッチは、Windows Meta File(WMF)に存在する脆弱性に対処するためのものだった。
この脆弱性を悪用する攻撃は、Microsoftが公式パッチを準備している間隙をつき、かなりの勢いで増加した。Microsoftは、WMFの脆弱性用パッチを月例セキュリティアップデートの一部として米国時間10日にリリースすると発表していた。つまり、パッチは脆弱性が最初に公開された日から数えて14日後にしかリリースされないということになっていた(編集部注:Microsoftは実際には予定を前倒しし、5日にこのパッチを公開した)
Guilfanovのつくった非公式パッチをダウンロードしようとするユーザーのアクセスが殺到したため、彼の個人ウェブサイトは一時的にアクセス不能になった。同氏はその後、必要最低限の内容に限定した形でウェブサイトを公開している。
今回の場合、複数のセキュリティ会社が、ベルギーのLiegeにあるDataRescueで上級開発者として働くGuilfanovを信頼したことになる。本来ならば、セキュリティ会社はサードパーティのパッチを顧客に推奨するようなことはしない。
現在ベルギーに住むGuilfanovは、3日にCNET News.comとの電子メールインタビューに応じ、Windowsのこの脆弱性に対して、独自の解決策を追求したいきさつを説明した。
--Ilfak Guilfanovという人物を知っている人は多くありません。それでも、Windows Meta Fileの脆弱性に影響を受ける何百万人というユーザーが、あなたの非公式パッチを信頼すべきだという理由を教えてください。
答えるのが難しい質問ですね。
私の開発した(「IDA Pro」という)プログラムが、既にセキュリティの専門家や政府機関によって利用されているということは、理由になるかもしれません。「IDA Pro」は、現在確認されているすべてのマルウェア(悪質なソフトウェア)およびウイルスを分析するために利用されています。私のパッチを信用しないのは各人の自由ですが、そういった人々さえ、バイナリプログラムに対する厳密な分析を行うためにIDA Proを既に利用しているのです。
また、私が何も隠さず、ソースコードを公開しているということも信頼すべき理由になるかもしれません。今回のパッチには完全なソースコードが付属しており、誰でもその動作を確認し、適用の可否を決定できるようになっています。このため、SANSの専門家のような見識のある人々がそのパッチを検証し、承認できたのです。
また、私が働いているDataRescueという会社の評判も1つの理由になるかもしれません。セキュリティ会社のほとんどは我が社の製品を利用しており、我が社とそのやり方に馴染みがあります。このため、彼らのほとんどが私を信頼するといっても、私は驚きません。もちろん、私はDataRescueを代表して話をすることはできませんが、これが私の感想です。
手短に言うと、私はこの質問に対する簡潔な答えを持ち合わせていないということです。
--今回以外に、あなたの開発した非公式なパッチがセキュリティベンダーから推奨されたことはありますか?
こういったパッチを作成したのはこれが初めてです。この脆弱性は、それまでお目にかかったことがないくらいひどく、かつ危険なものでした。怖くなったほどです。
パッチを作成したのは、自分自身と友人のためでした。しかし、インターネット上で公開した際には、それが大ごとになると判っていました。
--非公式パッチを公開する前にMicrosoftに連絡をとりましたか。
いいえ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス