シスコがTCP欠陥セキュリティフィックスの特許を申請

　Cisco Systemsが、最も一般的な通信プロトコルの1つであるTCPに最近見つかった欠陥を修正すると同社が主張する技術に関し、特許を申請した。

　Ciscoの社内弁理士Robert Barrは、同社が、Transmission Control Protocol（TCP）の欠陥を修正するセキュリティフィックスに関する特許を米国で申請したことを、先月、公の場で認めた。インターネット上のデータ転送で使われるTCPの欠陥は、先月、企業の自動化を手掛けるRockwell Automationのセキュリティ専門家Paul Watsonが発見した。Watsonが見つけた欠陥に関し、世界的規模で警告が発せられ、多数のベンダの製品に影響が及んだ。

　またCiscoは、特許出願書類で概説した同テクノロジーの一部を標準化する予定があることも認めた。同社は米国時間4月19日、Internet Engineering Task Force（IETF）にインターネットドラフトを提出した。

　この脆弱性によって、2つの異なる機器の間で確立されたTCP接続、またはセッションを不当に遮断する、いわゆる「リセット攻撃」が可能になる。TCP接続は2つの機器の間で確立されるものだが、この攻撃は、第3の機器、またはハッカーが、TCP接続が確立されたどちらかの機器のソースポートやIPアドレスと一致するパケットを送信することで仕掛けられる。ハッカーがどちらかの機器にリセットパケットを送信すると、接続が遮断されてしまう。

　Ciscoのセキュリティフィックスは、受信側がパケットを送信側へ送り返すことで、問題のリセットパケットが有効なホストから送信されたかどうかを確認する仕組みになっている。Ciscoのソリューションの利点は、IETFのドラフトスタンダードを使用する機器が、受信したリセットパケットの有効性についてより確固とした保証が得られることだ。もう一つの利点として、インターネット上で、同時にすべての機器をアップグレードする必要がないことが挙げられる。

　Watsonは問題解決に取り組むCiscoを称える一方、新しいセキュリティフィックスは新たな問題を生む恐れがあると警告した。

　一例として、Ciscoのソリューションが実際には、DDoS（分散サービス拒否）攻撃のリスクを高めてしまう恐れがあるという。Ciscoのソリューションは、受信側がリセットパケットを受信するたびに、確認パケットを送信する必要があるため、悪意のある攻撃が仕掛けられると、余分なパケットがネットワークに氾濫する恐れがある。

　また、有効なリセットパケットが送信されたにもかかわらず、何らかの理由で、相手がそれを確認できないという問題が発生する恐れもある。リセットパケットの確認が受信されないと、接続状態が続くことになる。これは、例えば、ルータがもはや存在しない接続にパケットを送信し続けるという事態につながる恐れがある。この場合、相手側にルータがないため、パケットが落とされてしまうことになる。

　「これらのシナリオはかなり特殊な状況でしか発生しないので、両方の場合とも実際のリスクは比較的低い。しかし、それでもCiscoや標準化団体はこのような状況を考慮すべきだ」と、Watsonは述べた。

　TCPの標準規格には、すでにこれよりも良いソリューションが含まれていると、Watsonは述べた。TCPプロトコルでは、機器が接続を終了する前に、リセット確認のシーケンスを確認することになっている。しかし、多くのベンダは規格のこの部分を実装していないと同氏は述べた。Watsonは、Ciscoのソリューションを利用するために機器をアップデートするよりも、規格に準拠するようにベンダ側が製品をアップデートすべきだと勧告している。

　Ciscoはテクノロジーの特許を申請するとともに、同社のソリューションを標準規格として採用するようにIETFにも働きかけている。Ciscoは、最終的に特定の規格に採用されることになったテクノロジーに関し、特許を申請した最初の企業ではない。これまでLucent Technologiesや3Com、Nortel Networks、Siemensなどが、IETF標準に採用されたテクノロジーの特許を取得している。

　Ciscoの広報担当Penny Bruceは、同社が申請した特許が認められ、この技術が正式なIETF標準になったとしても、特許の使用料は求めないつもりだと述べた。

　「標準規格に採用された特許技術の実装に際し、多くの企業が使用料を求めているが、Ciscoはそのような技術の実装に関し、これまで一度も使用料を求めたことはない。今回のソリューションにもこれは当てはまる。しかし、別の会社がCiscoに対し、自分こそが真の特許所有者だと主張してきた場合、自社を弁護する権利は保有しておきたいと思っている」と、Bruceは電子メールのなかで述べている。

　特許の使用料を求めないというCiscoの約束は大歓迎だと、Watsonはコメントした。