Sendmailのセキュリティホールで米国土安全保障省が活躍

　先日、インターネットで人気の高い電子メールサーバSendmailでセキュリティホールが発見された件は、新設された国土安全保障省（DHS）とそのサイバー対策部門の対処能力を試す、最初のテストケースとなった。

　DHSのIAIP部門（Information Analysis and Infrastructure Protection Directorate）は、今回のセキュリティホールを発見した米Internet Security Systems（ISS）や米Sendmailと共に、外部にセキュリティホールの情報が漏れないよう注意を払いながらパッチを作成した。

　IAIPのスポークスマン、David Wrayは、「民間企業と協力してSendmailソフトウェアの主なユーザーに警告を発し、処置を呼びかけた。今回のケースは、IAIPがどのように対処にあたるかを示す良い例になったと考えている」と語った。

　米国時間3月3日に発表されたSendmailのセキュリティホールは、攻撃者がSendmailサーバを乗っ取り、悪意のあるプログラムを実行することに利用される可能性がある。発見したISSがNIPC（National Infrastructure Protection Center）に報告したのは1月の半ば。当局は、他の企業やSendmailのコードを開発したオープンソースプロジェクトSendmailコンソーシアムなどへのセキュリティホールの通知に協力した。

　DHSは今回の件で、企業がセキュリティホールに対して必要なパッチを作成し、各社が同時に公開するまでの一連の処理において、セキュリティ業界から大きな信頼を得たことになる。

　米SANS Instituteのリサーチディレクター、Alan Pallerは「今回のケースは、セキュリティホールを発見した場合にどう対処すればよいかというお手本だ。DHSは全てのベンダーに圧力をかけ、内密に処置を勧めることが可能な機関の1つだ」と語っている。

　今後、DHSは米国政府機関として、大規模なサイバー攻撃の脅威に対する全ての処置を管理していくことになる。DHSは5つの部門に分かれており、IAIPのほかに管理（Management）、科学と技術（Science and Technology）、国境と輸送に関するセキュリティ（Border and Transportation Security）、緊急時の準備と対応（Emergency Preparedness and Response）がある。

　これまでサイバー脅威への対応をおこなってきたNIPC、FedCIRC（Federal Computer Incident Response Center）、NCS（National Communication System）の3機関は先週、正式にDHSの傘下に入った。NIPCで調査を担当していたスタッフはFBIに復帰する。現在、IAIPはNIPCのセキュリティ対応スタッフと権限を吸収したものとなっている。