マイクロソフトを出し抜いた話題のロシア人開発者 - (page 2)

文:Dawn Kawamoto
翻訳校正:坂和敏(編集部)
2006年01月12日 14時57分
  • 一覧
  • このエントリーをはてなブックマークに追加

--どうして連絡しなかったのですか。連絡しても事態は変わらないと判断したのですか。

 私がパッチを自分のブログで公開したのは、この問題に対して考えられる解決策の1つを提示するためでした。ソースコードを公開したのも、誰もが動作を検証できるようにするためでした。私はこれを技術的な問題として捉えたため、Microsoftは私のアドバイスを必要としないだろうと判断したわけです。

--SANSのInternet Storm CenterおよびF-Secureがあなたのパッチを推奨していることに対し、セキュリティ関連のメーリングリスト「Full-Disclosure」ではちょっとした論争が巻き起こりました。あなたのパッチはWindowsのある種の機能に影響を及ぼす可能性があるという意見に対してはどう応えますか。

 私の知る限り、このパッチによって、Windowsで実際に使用される機能が損なわれることは一切ありません。私のパッチによって無効化される機能はありますが、それは今回の脆弱性を引き起こす機能そのものなのです。

 脆弱性を抱えた機能を無効化せずにその対策を講じるのは、不可能とはいいませんが、大変難しいことです。

--Microsoftが10日に予定している月例セキュリティアップデートを待つべきだという意見に対し、同社はもっと早くアップデートを行うべきだという意見もあり、意見の対立のようなものが見受けられます。あなたは、Microsoftがどうすべきだと考えていますか。

 私は、Microsoftはパッチを開発し、テスト、リリースすべきだと考えています。そして、彼らは今まさにそれを行っている最中だと信じています。

--あなたの非公式パッチがこれほどまでに人気を得ている理由は何だと思いますか。

 確実にこれという理由を挙げることはできませんが、おそらく、IDA Proという逆アセンブラの作者としての私の評判が主な理由でしょう。そして、パッチにソースコードが付属していることが2番目の理由ではないでしょうか。これによって、パッチの検証がはるかに容易になるからです。だからこそ、SANS Instituteも容易に検証を行えたのです。そして専門家らは、パッチが行おうとしている内容を正確に把握し、承認することができたわけです。

--最後に、非公式パッチを推奨することに対するあなた個人の意見を聞かせてださい。非公式パッチの適用はいつ、どのような状況で行うのがふさわしいのでしょうか。

 非公式パッチの適用は慎重に行われるべきです。私個人としては、サードパーティからのパッチで、ソースコードが公開されていないものは信用しません。このことも、私が当初からソースコードを公開した理由となっています。

 ユーザーにはこのパッチをインストールすることを推奨しますが、大規模な企業には導入前にテストを行い、責任をもって準備作業を進めていただきたいと思います。すべてのパッチは、公式なものであろうとなかろうと、大規模な導入を行う前に小規模な環境でテストしておくべきだと思います。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]