マイクロソフト:「SP2の問題は欠陥とはいえない」

Matt Hines (CNET News.com) 2005年02月02日 14時49分

  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間2月1日、Windows XP Service Pack 2の保護対策機能を回避する方法を発見したとするロシアのセキュリティベンダーの主張に反論し、この問題は脆弱性ではないとの考えを明らかにした。同社は、Positive Technologies(本社:モスクワ)が強調した技術が「絶対確実なもの」であるとは想定しておらず、また報告された欠陥自体はユーザーを危険にさらすものではない、と付け加えた。

 Microsoftは声明のなかで、「ユーザーのシステム上で、攻撃者がこの方法だけを使って悪質なコードを実行することはできない。これを悪用した攻撃は全くなく、顧客がこれによって危険にさらされているわけでもない」と述べた。

 Service Pack 2は、攻撃者がPCに悪質なプログラムを挿入できないようにするために用意されたものだが、Positiveは先週、SP2に搭載されたData Execution ProtectionツールがWindows XPシステムに新たな脅威をもたらすとの報告を発表した。同社は、この技術の実装に2カ所の見落としがあったため、知識の豊富なプログラマーであれば、Data Execution ProtectionとHeap Overflow Protectionの両保護対策を回避できる可能性がある、としていた。

 しかしMicrosoft関係者は、この技術は必ずしも既存の脅威を未然に防ぐためのものではなく、Service Pack 2に対する攻撃手段の開発を困難にすることが目的だとし、PositiveによるData Execution Protectionの解釈に反論した。

 Microsoftの関係者はCNET News.comに宛てた電子メールで、同社は引き続きこの技術の修正を行い、報告された回避策への対応方法を判断する、と述べている。

 先の関係者は声明のなかで、「Windows XP Service Pack 2に搭載されたこれらのセキュリティ技術は、攻撃者がバッファオーバーランの脆弱性を悪用してコンピュータ上で悪質なソフトを実行するのを一段と困難にするためのものだ。われわれが行った当初の分析では、これらの機能を回避する試みはセキュリティ上の脆弱性ではないことが示されている」としている。

 Positiveは、エクスプロイトコードを使ってWindows XP Service Pack 2の保護対策を回避する攻撃プログラムは確実に機能すると述べ、それにより本来であれば保護メカニズムがあるためService Pack 2では機能しない悪質なコードも、2番目の脆弱性を利用すれば侵入者がマシンにこれを挿入できてしまうとしている。

 PositiveのCTO(最高技術責任者)、Yury Maksimovは、同社がこの問題を公表したのは、先にこの欠陥を警告した際にMicrosoftが対策を拒否したためであることを明らかにした。同氏は、Data Execution Protectionは脆弱性につながると考えている、と述べている。

 「この状況で、われわれはこの新たな脅威が存在することを知らせるほうが業界にとってもより安全だと判断した。こうした脆弱性から、新しいワームやウイルスが発生することはないが、しかしこれはまさに問題について知っていたほうがはるかに好ましいという状況だ」とMaksimovは電子メールに記している。

 しかしながら、この脅威についてのPositiveの報告がMicrosoftに対して完全にフェアであるとはいえないとする業界の専門家も少なくとも1人はいる。Spire Security調査ディレクターのPeter Lindstromは、Data Execution Protectionの脆弱性はハッカーに悪用される可能性が高いものではないと述べている。こうした脆弱性は、単にMicrosoftがつくるツールだけでなく、数多くのソフトウェアの設計に関する中核的なセキュリティの問題と関係していると同氏は言う。

 「MicrosoftがWindowsをもっとうまく保護するための機会を逸したと言うことはおそらく可能だろうが、しかしこれが脆弱性だということにはならない」(Lindstrom)

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化