「Badlock」脆弱性のパッチが公開--脆弱性ブランド化に懸念の声も

　セキュリティ関連の脆弱性に、覚えやすい名前とロゴが用意され、ブランド化されるケースが増えてきている。3月にその存在が発表され、米国時間4月12日にパッチが提供された「Badlock」もそうした脆弱性の1つだ。ただ、Badlockをめぐっては一連の議論も巻き起こっている。

　LinuxやUNIXが稼働するサーバと「Windows」搭載PCをネットワーク経由で接続するためのオープンソースソフトウェア「Samba」に潜んでいた7つの脆弱性に対するパッチが公開された。これらの脆弱性を利用することで攻撃者は、中間者（MITM）攻撃やDoS（サービス拒否）攻撃が可能になる。

　Sambaチームによると、影響があるのはSambaのバージョン3.6以降だという。ただ、Sambaのウェブサイトで提供されているのは、バージョン4.2以降向けのパッチのみとなっている。

　Badlockとは、これらの脆弱性を総称したものであり、悪用されるとトラフィックの盗聴や、セッションのダウングレード攻撃、セッションの乗っ取りが可能になるおそれもある。簡単に言うと攻撃者は、攻撃対象のサーバ上に格納されているユーザーのパスワードやその他の機密情報を盗み出せるようになるわけだ。

　Badlockは、Sambaの稼働する「Windows」サーバに対して特に大きな影響を与えるが、Sambaを搭載しているほぼすべてのLinuxにも影響を与える。

　Microsoftは12日、毎月第2火曜日にリリースする定例セキュリティパッチ「Patch Tuesday」の一環として同脆弱性に対処したが、その際の深刻度は最高レベルの「緊急」ではなく「重要」となっていた。同社の広報担当者は、今回リリースされたパッチを適用することで、ユーザーは「自動的に保護される」と述べている。

　Red HatのセキュリティストラテジストJosh Bressers氏は電子メールで、Badlockは「オープンソースコミュニティーによって特定、対処された、潜在的な危険を持つ新たな脆弱性」だと述べている。なお、Red Hatのディストリビューションも同脆弱性の影響を受けている。

　しかし、誰もがそれほど深刻な脆弱性だと考えているわけではない。

　セキュリティ企業Trustwaveの脅威インテリジェンスマネージャーKarl Sigler氏はブログへの12日付けの投稿で、情報開示の3週間前になされた脆弱性の存在告知が、問題の深刻さを伝える指標となったと述べている。

　そのうえで同氏は「今回、詳細が明らかにされたことで、ほとんどの人々はBadlockについて騒がれすぎだったと感じるのではないだろうか」と述べている。

　「この脆弱性は確かに懸念に値するものであり、管理者は早急にパッチを適用するべきだ。しかし今回のBadlockは、専用のウェブサイトを構築し、3週間も大騒ぎするほどの深刻なものだとは言えない」（Sigler氏）

　Badlockの詳細は今日までほとんど明らかになっていなかった。

　ドイツのゲッティンゲンに拠点を置く企業のSerNetがBadlockの情報をウェブサイトで提供した際、パッチ公開の前に悪用されるおそれがあるとして、セキュリティコミュニティーの怒りを買った。

　SerNetの従業員であるStefan Metzmacher氏がBadlockを発見した。ある分析結果によると、Metzmacher氏の名前は多数のSambaソースコードファイル（最も古いものは2002年までさかのぼる）に記載されているという。

　Metzmacher氏の開発作業とBadlockの発見に密接なつながりがあることから、SerNetは本質的に自らのコードの脆弱性を修正することで利益を得ようとしているのではないかとの批判の声も上がっていた。

提供：Badlock/screenshot