欠陥修正に200日もかかるか--マイクロソフトの対応をめぐって賛否両論

　Microsoftは、最近リリースした、緊急の欠陥を修正するソフトウェアパッチの開発に200日という時間を必要とした。これに関して、セキュリティ研究者の間からは批判と同情の声の両方が上がっている。

　Microsoftが全社レベルでセキュリティを最重要課題に義務づけた「Trustworthy Computing」構想の開始以降では、今回の6カ月強という日数は最も長いものとなる。深刻な問題への対応にこれだけ長い時間がかかってしまったため、Microsoftはこれまで2年以上もTrustworthy Computingの取り組みを続けながら、いったいどれほど進歩したのだろうかと、セキュリティ調査会社eEye Digital Securityの最高ハッキング責任者、Marc Maiffretは疑問を投げかけている。

　「実際に技術的な理由で、修正パッチの開発（とテスト）にそれだけの時間がかかったのだとしたら、Microsoftは別の問題を抱えているということになる。つまり、ソフトウェア会社としては経営のやり方が間違っているということだ」（Maiffret）

　Microsoftは米国時間2月10日に、Windows NT、Windows 2000、Windows XP、Windows Server 2003に共通のネットワーキングコンポーネントのなかに見つかった脆弱性を修正するパッチをリリースした。このセキュリティ上の欠陥が悪用されると、これらのWindowsシステムが動作するコンピュータに危害を加えられるようになったり、悪質な開発者がインターネット上の多数のシステムに影響を与えるワームを開発できるようになってしまう。

　eEyeはMicrosoftに対し、この問題を昨年7月25日に知らせ、また9月25日にも同様の2件目の問題を伝えた。これに対して、Microsoftは、先週になってやっとこの問題の修正用パッチをリリースした。最初の欠陥が見つかってから、なんと200日も経過した後のことだった。

　Microsoftはセキュリティの問題に対する自社の対応を弁護している。Trustworthy Computing担当ののシニアディレクター、Jeff Jonesによると、問題の発見から確認、そして修正パッチの開発やテストまで、パッチ作成プロセスの各段階に要する時間には幅があるという。

　「我々の目標がすべてを30日から60日以内にリリースするというものなら、実際に達成してみせよう。しかし、我々の目標は質の高いパッチを出すことなのだ」（Jones）

　他のセキュリティ研究者もJonesと同意見で、200日というのはやはり長いが、必ずしもそれが問題の存在を示すものではないと述べている。

　「何かを修正した場合には、実際にどれほど素早く仕上げようと、もっと短時間でできたという意見が出るものだ。オペレーティングシステムのバージョン数と、テストを要するアプリケーションの規模を考えれば数カ月が必要なことは明らかだ」と、@Stakeというセキュリティ会社で研究開発担当バイスプレジデントを務めるChris Wysopalは述べている。ちなみに同社のクライアントのなかには、Microsoftも名前を連ねている。

　この欠陥は、Abstract Syntax Notation One（ASN.1)という基本的なネットワークプロトコルをMicrosoftが実装したやり方にある。Microsoftのウェブサイトに挙げられた勧告によると、このコードは多くのWindowsアプリケーションで使われており、またこの脆弱性を悪用した攻撃者がパッチ未適用のWindowsが動作するコンピュータを別のマシンから乗っ取る恐れがあるという。攻撃者がローカルネットワークにアクセスできれば、この欠陥を悪用するのは遙かに容易になると、この勧告には記されている。

　このような多くのシステムに存在する脆弱性は、MSBlast（Blaster）やSlammerのようなワームをつくった、地下で活動するプログラマーにとって最も魅力的な攻撃目標だ。MSBlastもSlammerも、Windowsの欠陥を突いたものだった。

　Microsoftのセキュリティレスポンスセンターでシニアプログラムマネジャーを務める Stephen Toulouseは、今回のバグ修正にこれほど長い時間がかかった理由について、ASN.1のような 広範囲に利用されている技術につきまとう困難さを挙げている。

　「ASN.1は、本当にWindows自体の実に深い部分に使われている技術だ。この点を調べるにあたり、我々はいくつもの違った局面から問題を評価しなくてはならなかった。これは充分に念を入れて作業を進めなくてはならない例だといえる。」

　しかし、問題の複雑さが必ずしもバグ修正の遅れの理由になるとは限らない。

　ASN.1に関連する別の欠陥は、さらに多くの企業に影響を及ぼし、必要となる調査の量ももっと多かったが、わずか5カ月で公表された。この欠陥に関する情報を公表するとの決定が下されるより先に、その情報が外部に漏れだしてしまっていたものの、多くの企業は公表時点ですでに修正パッチを用意するか、あるいはそれほど時間をおかずにリリースしていた。

　この欠陥は、 Simple Network Management Protocol (SNMP)--ネットワーク機器がインターネットを介してコミュニケーションを取るためのデータ言語--のバージョン1を利用するネットワーク機器に影響するもので、攻撃を受けると動作が不安定になったり、クラッシュしたりするというものだった。