「7年目のパッチ」--マイクロソフトの言い分

　先だって、7年前に発見された脆弱性に対するパッチが発行された。なぜかくも長い時間がかかったのか。Microsoftがその理由を説明した。

　脆弱性はMicrosoft Server Message Block（SMB）で発見された。これを利用するとSMB Relay攻撃が可能になり、攻撃者はプログラムをインストールしたり、データを閲覧、変更、削除したり、完全なユーザー権限を持つアカウントを作成したりできる。米国時間11月11日、マイクロソフトセキュリティ情報MS08-068で手当てされた。

　これについて、Microsoft Security Response CenterのセキュリティプログラムマネージャーChristopher Budd氏は13日付けブログ記事で次のように述べ、脆弱性の存在は知っていたが、顧客のネットワークアプリケーションが動かなくなる恐れがあるため、これまで改修できなかったと説明した。

　「この問題が明らかになった2001年当時、ネットワークを使用するアプリケーションに影響するため改修できないと言ったが、それは改修すればネットワークを利用する当時の顧客アプリケーションの多く（ほぼすべて）が動作不能になるだろうという意味だった」

　そして、2001年にSMBサインを使用するよう顧客に勧めたが、その後この回避策には適用できない場合があることがわかったという。

　「この問題を抱える顧客にはSMBサインは有効な回避策だと説明したが、実際はSMBサインの実装を不可能にする同種の制約があった」

　セキュリティ検証ツールMetasploitのブログによると、この脆弱性は2001年の@tlanta.conコンベンションで「Sir Dystic」として知られるセキュリティ研究者によって初めて公に報告された。Metasploitの攻撃ツールにも2008年に入ってから、SMB Relayモジュールが加えられている。

　同ブログに11日付け署名「HD」で投稿された記事によると、MicrosoftのSMBパッチでは不十分だという。

　「MS08-068パッチは攻撃者が犠牲者に接続し直す場合には有効だが、犠牲者のアクセスする第三者ホストに接続をリレーする攻撃は防げない」

　本記事執筆時点までに、Microsoftからコメントを得ることはできなかった。