お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

Vistaとハッカーの「かくれんぼ」--新セキュリティ機能ASLRの有効性

2006/06/02 15:37
  • このエントリーをはてなブックマークに追加

 Microsoftと悪質なコードの作成者が「かくれんぼ」を始めた。

 先週リリースされた「Windows Vista Beta 2」には、バッファオーバーラン攻撃からマシンを保護する、新たなセキュリティ機能が搭載されている。「Address Space Layout Randomization(ASLR)」と呼ばれるこの機能は、PCを起動するたびに重要なシステムファイルをメモリ上の異なる領域にロードし、悪質なコードの実行を難しくするものだという。

 MicrosoftのシニアセキュリティプログラムマネージャーMichael Howard氏は、同機能について紹介したブログ記事に、「(セキュリティの)万能策でもなければ、安全性の低いコードの代わりになるわけでもない。しかし、ほかの技術と併用することで、(中略)有用な保護対策にはなる。Windowsシステムをマルウェアから見かけ上『異なる』ようにして、自動化された攻撃を起こりにくくするからだ」と記している。

 バッファオーバーラン攻撃とは、コンピュータコードの代表的なセキュリティホールであるバッファオーバーランもしくはバッファオーバーフローを悪用する、悪質なコードによる攻撃のことだ。この攻撃は、バッファ境界を越えてデータが保存され、その結果あふれたデータがメモリに隣接する部分を書き換えることで成功する。これにより、マシンがクラッシュさせられたり、悪質なコードが実行されたりする可能性が生まれる。

 ASLRはMicrosoftが開発した技術ではなく、OpenBSDや、Linuxパッチの「PaX」「Exec Shield」といったオープンソースセキュリティシステムですでに利用されている。

 一部の攻撃は、「wsock32.dll」にある「socket()」関数といったWindowsシステム関数を呼び出し、ネットワークソケットを開こうと試みる。これに対し、新たなASLR機能はこうしたシステムファイルを移動させるので、場所を特定しにくくなる。Howard氏のブログによれば、Windows Vista Beta 2では、DLLもしくはEXEファイルは256カ所ある場所のどこかに保管されるという。

 「攻撃者には、適切な場所を探し当てる確率が256分の1しかないということだ」(Howard氏)

 バージニア州ハーンドンのセキュリティベンダーCybertrustで、シニアサイエンティストを務めるRuss Cooper氏は、オープンソースシステムではランダム化は非常に有効に機能しているようだと話す。ただし、MicrosoftがASLRをどのように実装するのか、そのランダム化はほんとうに予想が難しいのかどうかは、まだはっきりわからないという。

 「この機能は、ファイルの保管場所として選んだ部分を知るため、あるいはそのヒントを得るため、最初に目を付けられる部分となるのではないか」(Cooper氏)

 攻撃者には、256箇所すべてのメモリ領域をのぞき見する、悪質なソフトウェアを作成することも可能だ。もっとも、こうした行為によって攻撃が起こる可能性よりも、PCがクラッシュする可能性の方がはるかに大きいと、Cooper氏は指摘している。「マルウェアの実行阻止だけを考えているならよいかもしれないが、システムを継続的に稼働させるという点では問題が多い」(Cooper氏)

ASLRにはさらなるフィードバックが必要

 セキュリティ業界は、MicrosoftがVistaにASLRを実装したことを評価している。Next Generation Security Softwareの研究者David Litchfield氏も、「BugTraq」メーリングリストの中で、「これによりリモートからのバッファオーバーフロー攻撃が非常に困難になった」と発言している。

 その一方で、懐疑的な見方をする人々も存在する。Litchfield氏の発言に対し、「c0ntex」という通称名を使う人物は、ASLRは「Linuxではもう何年も前から役に立たなくなっている」と反論した。

 なお、MicrosoftがWindows Vistaの第2ベータ版リリースにおよんでようやくASLRを搭載したのは、Windows XPの後継製品であるVistaのリリースが年末商戦期には間に合わないことを、あらためて裏打ちする事柄でもある。「ASLRの実装はだいぶ遅れてしまったが、第2ベータ版にこれを追加し、初期搭載機能として利用できるようにすることが重要だと判断した。実際の利用環境における動作状況を把握できるからだ」(Howard氏)

 Microsoftは、ASLRの追加はVistaのその他の機能強化とともに、OSの安全性を全体的に押し上げる役割を果たしたと自負している。同社によれば、2007年1月にリリース予定のVistaは、これまでのWindowsの中でも最も安全な製品だという。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社