TCPにウェブサイトを危険にさらす脆弱性--スウェーデンの研究者が発見

　スウェーデンの2人の研究者が、悪用されると大規模なサービス拒否攻撃につながる可能性があるTCPの脆弱性を複数発見した。今のところ回避方法はなく、修正プログラムも提供されていない。

　TCPスタックでは、どのコンピュータがネットワークで通信できるかを決めるルールが定義される。Outpost24の最高セキュリティ責任者（CSO）であるRobert E. Lee氏はCNET Newsに対し、「私たちが話し合っているベンダーはこの脅威を深刻に受け止めているようだ」と述べた。

　Lee氏と主任セキュリティ研究員であるJack Louis氏が作成した「UnicornScan」という名前のポートスキャナを使ったテストで、脆弱性が発見された。このツールは、Outpost24での脆弱性評価および侵入テストに使われている。Lee氏はスウェーデン語のポッドキャストで、ルールでは、ポートスキャンが短時間で終わらない場合、TCPスタックを分散させるため、TCPスタックがプログラムに移されると述べた。Louis氏が奇妙な動作に気づいたのはこのときだった。

　「Jack（Louis氏）は、非常に特異な環境で、スキャン中にマシンが動作を停止する異常を発見した」とLee氏はCNET Newsに語った。経験した動作の1つはパケットロスで、繰り返しパケットを再送しようとすることにより、規模の差はあるが、マシンでサービス拒否（DoS）が発生した。

　米国時間9月30日に最初にこの記事を書いたRobert Hansen氏によれば、脆弱性は1つだけでなく、複数あるようだ。Hansen氏は、同氏が理解しているところでは、これらの脆弱性が悪用されると、多大な被害をもたらす可能性があると述べている。また、問題を解決するには、OS、ファイアウォール、インターネット対応機器のベンダーとの連携が必要になる。

　脆弱性を悪用し、TCPの脆弱性が本物かどうか確かめるため、Lee氏とLouis氏は、TCP/IPのハンドシェイクプロセスを使って故意に間違ったことをする「sockstress」という名前のプログラムを作成した。sockstressプログラムはDoS攻撃を仕掛けるのに非常に効果的だったが、2人はsockstressをリリースする計画はないという。

　Lee氏は、2008年夏にDan Kaminsky氏がDNSの脆弱性で行ったように、大々的な記者会見を開く予定はないと述べた。「私たちはベンダーと協力して、彼らが問題を完全に理解し、問題の詳細を公開する前に十分なソリューションを配備できるようにするつもりだ。問題は複数存在するため、個別に対処できるよう、個々の問題の情報を共有するかもしれない」

　修正プログラムが公開される前に脆弱性が特定される可能性についての質問に対し、Lee氏は、「たとえJack Louis氏が群を抜いて優秀だとわたしが考えているとしても、バグを発見する能力を持っているのはOutpost24だけではない。誰かが私たちとは別に脆弱性を特定するのは時間の問題だ」