米MS、Passportの欠陥にFTCが罰金の可能性？

　米MicrosoftのPassportで重大なセキュリティホールが見つかったことに関連し、連邦取引員会（FTC）がMicrosoftに罰金を課すという可能性が出てきた。同社がPassportに関して、FTCと合意した内容に違反事項があるかもしれないという。FTCが違反とみなした場合、Microsoftは最大2兆2000億ドルに上る額の罰金の支払いを求められる可能性もある。

　Microsoftは米国時間5月8日、Passportサービスのパスワード再設定機能の欠陥がどの程度の影響を及ぼすかを測るために、緊急の対策を講じた。CNET News.comが他に先駆けて報じたこの脆弱箇所は、攻撃者がPassport利用者のメールアドレスを知っていれば、その利用者の氏名やクレジットカード番号などの個人情報が分かってしまうという、非常に深刻なものだった。

　コンピュータのセキュリティ対策を優先課題に掲げてきているMicrosoftにとって、今回のPassportの欠陥問題は深刻な打撃となった。だが、これによるダメージが、単に社会に対する同社のイメージ低下に留まらない可能性もある。

FTCとの約束の履行が焦点に

　昨年8月に、Microsoftは裁判所の提出した調停書に署名し、米公正取引委員会（FTC）に対し、Passportサービスにおけるセキュリティおよびプライバシー保護に関して事実と異なる報告を行わないこと、ならびにその保護機能を改善していくことを約束していた。今後何らかの調査を実施するかについて、FTCはいまのところコメントしていないが、Microsoftがこの約束を実際に守っているかどうかは既に調べ始めている。

　「Microsoftは我々の命令に従い、理にかなった適切な手順を踏んで予防手段を講じる必要がある」と、FTCのファイナンシャル部門でディレクターを勤めるJessica Richはいう。「何か問題が起こったからといってMicrosoftが命令に違反しているというわけではないが、同社がこれまでに講じた対策が果たして適切なものだったかどうかについては、今後我々が評価していく」

　もし調査が入り、実際に命令違反となれば、一件につき1万1000ドルの罰金がMicrosoftに課されることになり、劣勢に立つPassportサービスへの新たな痛手にもなる。1年半前に見つかった欠陥では、一部のアカウントで保存されていた個人の身元情報が、攻撃者の手に渡ってしまう危険性があった。この欠陥をはじめいくつかの問題が起こり、それが後のFTCとの調停合意につながった。

　現在問題になっているのは、Microsoftが昨年9月にPassportのシステム変更を実施し、今回問題となったパスワード再設定機能を付加した際、FTCとの合意に違反したかどうかである。調停合意書には、「顧客情報漏洩に関するリスク管理のため、適切な予防手段を設計・実装する」よう同社に求める但し書きがある。

　Microsoftは、FTCとの間でこの問題に関する話し合いを進めているかについてコメントを避けている。

ビジョンの実現に影を落とす「欠陥」の発覚

　Microsoftは、PassportをWebサービスの中核技術と宣伝してきている。Passportのアカウントは、誕生日やクレジットカード番号など、オンラインでの個人情報データを保存する場所となる。また、1つのPassportアカウントのみで複数サイトにアクセスすることができる。

　Microsoftは電子メールサービスのHotmail、インスタント・メッセージング・サービスのMSN MessengerにPassport認証を使用し、その他にも、オンラインゲームのトランザクションや、Microsoft Reader対応の電子ブックの購入など、様々なeコマースサービスにPassportを利用している。米eBay、キヤノン、米Expedia、米StarbucksなどもPassport認証を利用しており、現在は推定で「2億個のアカウントが使用されている」（Microsoft）という。

　今回のセキュリティホールでは、1つのウェブアドレス（URL）を使用して、Passportサーバにパスワードのリセットフォーム送信を要求することができてしまう。このURLには、アカウントの変更が可能な電子メールアドレスと、リセットメッセージの送信先アドレスが含まれている。攻撃者が後者の任意アドレスをブラウザに入力すると、Passportサーバがパスワードをリセットするためのリンクを返信するため、攻撃者はアカウントにアクセスできるようになる。

　問題が発覚してからのMicrosoftの対応は素早かった。欠陥がメーリングリストにポストされたその日のうちに、パスワードのリセット機能を遮断し、疑わしいアカウントを使用停止にした。さらに、一部のPassport利用者に対しては、アカウント利用の再開にあたって、カスタマーサポートへの連絡を強制した。

　MicrosoftのPassportグループの製品マネージャー、Adam Sohnは、「カスタマーサポートを通じてアカウントの再手続きを踏んでもらうことで、アカウントを登録した人物が実際に存在するかどうか、適切なアクセス権を持っているかどうかを確認することができる」と述べている。

　仮にFTCが罰金を課すとなった場合、マイクロソフトの支払額は最高で2兆2000億ドルに達する可能性もある。ただしこれは、全Passportユーザーのアカウントに対して、同社の違反があったと認められた場合のことで、実際には一時的にアカウントが使えなくなったユーザーの数えるほうが罰金を算定する基礎としては適切と思われる。

　MicrosoftのSohnは、本来なら同社の新しい開発サイクルのなかで、今回問題となった点に気付いておくべきだったと述べている。Microsoftでは、Trustworthy Computing 推進活動の一環として開発サイクルを改定しているが、その活動の目的のなかにはソフトウェアの脆弱箇所を減らすことも含まれている。

　「開発段階でこの欠陥を見つけておくべきだったことはいうまでも無い。どんな欠陥でもそうしなくてはならない。それこそ私たちが目指しているものだからだ。私たちは常にこうした問題に目を光らせており、この種の活動には始まりも終わりもないと考えている」（Sohn)