Microsoftは、最近リリースした、緊急の欠陥を修正するソフトウェアパッチの開発に200日という時間を必要とした。これに関して、セキュリティ研究者の間からは批判と同情の声の両方が上がっている。
Microsoftが全社レベルでセキュリティを最重要課題に義務づけた「Trustworthy Computing」構想の開始以降では、今回の6カ月強という日数は最も長いものとなる。深刻な問題への対応にこれだけ長い時間がかかってしまったため、Microsoftはこれまで2年以上もTrustworthy Computingの取り組みを続けながら、いったいどれほど進歩したのだろうかと、セキュリティ調査会社eEye Digital Securityの最高ハッキング責任者、Marc Maiffretは疑問を投げかけている。
「実際に技術的な理由で、修正パッチの開発(とテスト)にそれだけの時間がかかったのだとしたら、Microsoftは別の問題を抱えているということになる。つまり、ソフトウェア会社としては経営のやり方が間違っているということだ」(Maiffret)
Microsoftは米国時間2月10日に、Windows NT、Windows 2000、Windows XP、Windows Server 2003に共通のネットワーキングコンポーネントのなかに見つかった脆弱性を修正するパッチをリリースした。このセキュリティ上の欠陥が悪用されると、これらのWindowsシステムが動作するコンピュータに危害を加えられるようになったり、悪質な開発者がインターネット上の多数のシステムに影響を与えるワームを開発できるようになってしまう。
eEyeはMicrosoftに対し、この問題を昨年7月25日に知らせ、また9月25日にも同様の2件目の問題を伝えた。これに対して、Microsoftは、先週になってやっとこの問題の修正用パッチをリリースした。最初の欠陥が見つかってから、なんと200日も経過した後のことだった。
Microsoftはセキュリティの問題に対する自社の対応を弁護している。Trustworthy Computing担当ののシニアディレクター、Jeff Jonesによると、問題の発見から確認、そして修正パッチの開発やテストまで、パッチ作成プロセスの各段階に要する時間には幅があるという。
「我々の目標がすべてを30日から60日以内にリリースするというものなら、実際に達成してみせよう。しかし、我々の目標は質の高いパッチを出すことなのだ」(Jones)
他のセキュリティ研究者もJonesと同意見で、200日というのはやはり長いが、必ずしもそれが問題の存在を示すものではないと述べている。
「何かを修正した場合には、実際にどれほど素早く仕上げようと、もっと短時間でできたという意見が出るものだ。オペレーティングシステムのバージョン数と、テストを要するアプリケーションの規模を考えれば数カ月が必要なことは明らかだ」と、@Stakeというセキュリティ会社で研究開発担当バイスプレジデントを務めるChris Wysopalは述べている。ちなみに同社のクライアントのなかには、Microsoftも名前を連ねている。
この欠陥は、Abstract Syntax Notation One(ASN.1)という基本的なネットワークプロトコルをMicrosoftが実装したやり方にある。Microsoftのウェブサイトに挙げられた勧告によると、このコードは多くのWindowsアプリケーションで使われており、またこの脆弱性を悪用した攻撃者がパッチ未適用のWindowsが動作するコンピュータを別のマシンから乗っ取る恐れがあるという。攻撃者がローカルネットワークにアクセスできれば、この欠陥を悪用するのは遙かに容易になると、この勧告には記されている。
このような多くのシステムに存在する脆弱性は、MSBlast(Blaster)やSlammerのようなワームをつくった、地下で活動するプログラマーにとって最も魅力的な攻撃目標だ。MSBlastもSlammerも、Windowsの欠陥を突いたものだった。
Microsoftのセキュリティレスポンスセンターでシニアプログラムマネジャーを務める Stephen Toulouseは、今回のバグ修正にこれほど長い時間がかかった理由について、ASN.1のような 広範囲に利用されている技術につきまとう困難さを挙げている。
「ASN.1は、本当にWindows自体の実に深い部分に使われている技術だ。この点を調べるにあたり、我々はいくつもの違った局面から問題を評価しなくてはならなかった。これは充分に念を入れて作業を進めなくてはならない例だといえる。」
しかし、問題の複雑さが必ずしもバグ修正の遅れの理由になるとは限らない。
ASN.1に関連する別の欠陥は、さらに多くの企業に影響を及ぼし、必要となる調査の量ももっと多かったが、わずか5カ月で公表された。この欠陥に関する情報を公表するとの決定が下されるより先に、その情報が外部に漏れだしてしまっていたものの、多くの企業は公表時点ですでに修正パッチを用意するか、あるいはそれほど時間をおかずにリリースしていた。
この欠陥は、 Simple Network Management Protocol (SNMP)--ネットワーク機器がインターネットを介してコミュニケーションを取るためのデータ言語--のバージョン1を利用するネットワーク機器に影響するもので、攻撃を受けると動作が不安定になったり、クラッシュしたりするというものだった。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
古い「Apple Watch」もまだ使える--再活用する9のアイデア 
「iPhone 16 Plus」でPlusモデルは終了するのか--うわさについて考察 
グーグル「Pixel 9 Pro Fold」、初代モデルからの進化ぶりをチェック