ハッカーと理解を深め合うマイクロソフトの思惑 - (page 2)

Ina Fried (CNET News.com)2005年06月20日 20時25分

 他の人々も、Mooreの考えに同意している。「彼らはこの問題を真剣に受け止めている。それがわかったことはよかった」と、Avayaで働くセキュリティ研究家のKaminskyは言う。「ある時点で、Microsoftは考え方を変えた」(Kaminsky)

 この変化は、2002年にGatesが書いた「trustworthy computing」という概念についてのメモから始まった。セキュリティはMicrosoftにとって長い間頭痛の種だったが、世間の注目を集めた何度かの攻撃によって、同社製品のなかに存在する脆弱性の程度が外部に明らかになった後には、この問題の解決が必須事項になった。

 「われわれが目にしているセキュリティの問題が、パーソナルコンピュータの時代に終焉をもたらす可能性がある」とKaminskyは言う。「コンピュータをカスタマイズできるわれわれの力が、われわれの意志に反してコンピュータをカスタマイズする人間から攻撃を受けている」(Kaminsky)

 この種の情熱的なレトリックには、Microsoft側でもより慎重な一部の参加者でさえ敬意を払っている。

 MicrofotのNoel Anderson(Windowsチームの無線ネットワーク関連エンジニア)は、ハッキングのデモ会場に足を踏み入れ、会場の前方に据え付けられた巨大な無線アンテナを見た途端に疑いを抱いた。

 Andersonは自分のノートPCの電源を切っておくことにした。ハッカーがターゲットにしたのはデモ用のノートPCだったが、この直感のおかげで、彼はハッカーの罠にかかるという恥をかかずにすんだ。だが、状況が異なっていれば、自分も同じようにハッカーの餌食になっていただろうと同氏はひそかに考えた。

 その結果、Andersonや彼のチームは、将来のWindowsのバージョンを無線攻撃に対してもっと強くするための具体的なアイデアを、このイベントからいくつか得ることができた。彼はまた、デモを行ったハッカーに対して、新たな敬意を抱いて会場を離れた。

 「彼らは、親の家の地下室にたむろする、不満を抱いたティーンエージャー連中ではない。こういう問題について真剣に考えている専門家だ」(Anderson)

 これに対して、ハッカー側も同じように、イベントで会ったMicrosoftの上級幹部らの技術的な知識について強い印象を受けたようだ。

 Matt Conoverという研究者が、「ヒープオーバーフロー」というかなり理解しにくい問題について話していた際、聴衆にこれについて知っているかどうかを尋ねた。その場にいた20人のほとんどはバイスプレジデント級の人間だったが、18人が知っていると手を挙げた。

 「管理職がこれほど技術に詳しい大企業が地球上にほかにあるとは思えない」(Moore)

 だが、両者の対決のなかでは緊張が走った場面もあった。

 たとえば、Mooreが「Metasploit」のデモを行った際、Microsoftの開発者は目に見えて落ち着きを失った。Metasploitは、システム管理者が自分のシステムの攻撃に対する信頼性をテストするのに使えるツールだが、数多くの攻撃手法が含まれているほかに、これを使って新しいタイプの攻撃をつくり出すツール類も含まれている。

 「Microsoftの開発者らは『これほど簡単に攻撃を仕掛けられるツール類をなぜ一般に公開しているのだ』と言っていた」とKaminsky。同氏によると、開発者らはセキュリティ研究者側が自らの考えを述べると、すぐに落ち着きを取り戻したという。

 「ソフトウェア開発の現場では回帰テストを行う。そして、『これが壊れることはないだろう』という場合には、それをテストしてみる必要がある。これらのツール類がもたらすのは、『われわれはできる限りのことをした』というだけでなく、『これこれの攻撃を試してみたが、実際に何も起こらなかった』と言えるために、そうしたテストを行える能力だ」(Kaminsky)

 それにもかかわらず、同氏はMicrosoftの開発者全員がこの説明に満足しなかった理由を理解していると言う。

 「1960年代後半に、Ralph NaderがFordのクルマに欠陥があるとのレポートを発表した際、Fordが面白くなかったのは間違いない。『わが社のクルマは爆発します』と世間に言うのが楽しいわけがない」(Kaminsky)

 同イベントが終わりを迎える頃、両者はともに自分たちが表面的な事柄に触れたに過ぎないと感じており、再びこうした機会を設けたいと考えていた。

 ToulouseやAndersonのようなMicrosoftの幹部らは、ハッカーの動機付けをよりよく理解できるようになったと述べた。

 「ある攻撃者がこういうことをする可能性がある、といった会話をした。いまでは、そうした連中の一部の顔を知っている。彼らもわれわれと同じくらい技術に詳しいことがわかった」(Anderso)

 Microsoftは再びBlue Hatのイベントを開くと約束しているが、その時にもKaminskyは必ず参加すると述べている。

 「どんなことがあろうと次回も参加する。本当に興味深い計画や胡散臭い計画をいくつか思いついている」(Kaminsky)

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]