Kerberosに重大な欠陥--ネットワーク認証に影響も

　ネットワーク認証に幅広く利用されているある技術に脆弱性があり、UnixやLinux、Apple ComputerのMac OS Xの動作するコンピュータが攻撃を受ける可能性がある。

　この欠陥を悪用されると、ネットの侵入者がKerberosと呼ばれるセキュリティ機能が動作するコンピュータにアクセスできてしまう。マサチューセッツ工科大学Kerberos Teamの主任エンジニア、Sam Hartmanは米国時間1日、同チームの開発者が発見したこの脆弱性には早急にパッチをあてるべきだと語った。

　「これがワームの登場につながるとは思えない。パッチをあてる作業は簡単なため、大半のサイトはこれを適用するだろう。万が一、改ざんされるようなことでもあれば、復旧作業は面倒なことになる」（Hartman）

　Kerberosは多くのネットワークにとってセキュリティの要だ。同ソフトウェアは基本的に守衛の役割を果たし、ネットワーク内でコンピュータへのアクセスが許可されるユーザーと許可されないユーザーを判別する。そのため、同ソフトウェアに欠陥があると特に致命的となる。

　ダブルフリー脆弱性と呼ばれるこの欠陥は、同プログラムの一部がコンピュータの同一メモリ空間を二度解放しようとするために発生する。ただしこのエラーは、もっと一般的なメモリバッファオーバーフローというもう１つのエラーほど簡単には悪用できないことから、ネットワーク管理者は多少余裕をもって対応できる、とHartmanは語る。

　「だれかが悪用コードを作成したとの証拠は手元にない。また、ネットワーク上での攻撃例も報告されてはいない」（Hartman）

　Kerberosは多くのネットワークセキュリティ機器やソフトウェアの基本部品となっている。 Microsoftでは、この仕組みを使ってActive Directory認証のセキュリティをコントロールしている。だが、同社は自社開発バージョンのKerberosを採用しているため、この欠陥の影響を受けないとHartmanは語っている。

　一方、Sun MicrosystemsのSolarisや、Red HatおよびMandrakeのLinux、そしてOS XなどのOSは、いづれもKerberosを採用している。Red Hatなど一部の企業は、この問題に対処するパッチを発表しているが、未発表の企業もある。

　ネットワーク対策技術ベンダーのSymantecでセキュリティシニアディレクターを務めるAlfred Hugerは、この欠陥を悪用するワームが作成できないとしても、管理者はこの欠陥を修正するパッチを早急にあてる必要がある、と述べている。「Kerberosはかなり普及しており、これを利用している顧客もよく見かける」（Huger）

　多忙な企業の ITマネジャーは、ハッカーにまだ悪用されていない脆弱性には優先的に対応しないことが多い。しかし、そのような考え方は軽率だとHugerは強調する。

　「この欠陥を使ったワームは作成されないかもしれないが、それでも欠陥にパッチを当てずにおくのは非常に危険だ。ましてや認証処理を行う部分ならなおさらだ」（Huger）

　なお、このKerberosの脆弱性に関する勧告は、Computer Emergency Response Team（CERT）がまとめた、とMITのHartmanは語った。