セキュリティ専門家:「シスコ製品のコード流出による脅威の可能性は低い」

Robert Lemos (CNET News.com)2004年05月18日 09時57分

 Cisco Systemsの最新ネットワーク機器を動作させるソースコードが大量流出した問題に関して、セキュリティ専門家らは17日(米国時間)、この流出で脆弱性が多数見つかることにはならないだろうと述べた。

 Ciscoは、先週末にロシアのあるセキュリティ関連サイト上で見つかった2つのソースコードファイルが本物であることを認めたが、同社のプロプライエタリなコードの不正流出がネットワーク侵入によるものかどうかはコメントできなかった。Ciscoは大急ぎで流出源の特定に乗り出したが、セキュリティ専門家らの考えでは、攻撃者はこのコードをそう簡単には利用できないという。

 インターネット上の脅威を監視するサービスを提供しているInternet Storm Centerの最高技術責任者(CTO)Johannes Ullrichは、「それほど心配することはないと思う」と述べ、今年起きたMicrosoftのソースコード流出に比べ、Ciscoのケースのそれほど深刻な状況ではないとした。「Windowsのソースコードの場合、家にある自分のパソコン上でそのコードからプログラムを構築できる。だが、Ciscoのコードの場合は特別なハードウェアが必要なので、ほとんどの人々はこのコードをコンパイルできない」(Ullrich)

 Ciscoの関係者は、どれほどのソースコードが流出したがについては確認がとれていないと語った。複数のチャットルームやウェブサイトに出された投稿によると、ソースコードの最も重要部分約800MバイトがCiscoから盗み出されたという。

 Ciscoはコードの流出源として、いくつかの可能性を除外している。

 Cisco広報担当のMojgan Khaliliは「今回の流出は、Ciscoが顧客に提供している製品もしくはサービスへの侵入や脆弱性によるものではないようだ。また、Cisco社員や請負会社が行なった悪質な行為の結果によるものだと判断する根拠もない」と声明のなかで説明している。

 IT関連大手企業の製品ソースコードが不正公開される事件は、今年に入ってこれが2回目となる。今年2月には、MicrosoftのWindows 2000とWindows NTのソースコードの一部がインターネットに流出した。

 セキュリティ研究者らは、Ciscoの流出コードによって同社製品のセキュリティに危険が及ぶ可能性は低いと考えている。Windowsソースコードの流出によって、そのセキュリティが大幅に損なわれたというケースはないと、ウイルス対策ソフトメーカーSymantecのセキュリティ対応センターでシニアディレクターを務めるAlfred Hugerは指摘している。

 「リスクがあるとすれば、中期的から長期的なものになるだろう。(Windowsのコード流出の)結果による脆弱性は2、3件あるが、いずれも重大なものではない」(Huger)

 さらに、ネットワーク機器の大きな脆弱性を見つけるのはより困難なため、攻撃者はこうした機器をターゲットにはしない傾向がある。Ciscoが昨年7月に顧客に警告したDoS攻撃に対するルータの脆弱性は、現実には脅威とはならなかった。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]