シスコシステムズ、暗号化技術に関するセキュリティ脆弱性を修正

　Cisco Systemsが、サービス拒否（DoS）攻撃を受ける恐れのある複数の同社製品に対して脆弱性を修復するセキュリティパッチをリリースした。

　同社が発表したセキュリティ勧告によれば、この脆弱性はサードパーティー製の暗号化ライブラリに存在しており、同社製品「Cisco IOS」「Cisco IOS XR」「Cisco PIX and ASA Security Appliances」「Cisco Firewall Module」「Cisco Unified CallManager」が影響を受けるという。

　SANS Instituteの最高リサーチ責任者であるJohannes Ullrich氏は、米国時間5月23日にセキュリティ通知を発表し、このセキュリティ脆弱性を悪用することで、攻撃者はルータ経由で複数の小さなパケットを送り、DoS攻撃を仕掛けてネットワークを遮断させることが可能だと述べた。

　「大半のDoS攻撃では、ネットワークが処理できる限界を超える量のトラフィックを送りつけるやり方だ。だが今回のケースは、攻撃者はわずかなパケットを送信するだけだ。帯域は少ししか消費されず、何度も同じパケットを再送するのがきわめて簡単だ」（Ullrich氏）

　Ciscoの従来製品の一部には問題の暗号化ライブラリが標準搭載されているため、これらの脆弱性は有効なユーザー名やパスワードがなくても悪用される恐れがあるという。攻撃者はDoS攻撃を仕掛けることはできる一方で、すでに暗号化されている情報へアクセスすることはできないようだとCiscoは述べる。

　Ciscoのセキュリティ勧告には、パッチのダウンロード先のリンクや、一時的に取り得る回避策へのリンクなどが含まれている。

　Ullrich氏は、この脆弱性はCiscoの広範な製品に影響を与えるが、これを悪用した攻撃はまだ報告されていないと述べている。

　Ciscoは2007年に入り、ルータに関する複数のセキュリティ勧告を発表している。1月には、同社のルータおよびスイッチを運用するソフトウェアに、3件のセキュリティ脆弱性が発見されたことが明らかになった。また2月には、中核をなすOSに脆弱性が存在しているため、ルータの侵入防止技術が攻撃にさらされる可能性があると、同社はユーザーに警告した。