Windows Vista、PtoP機能がデフォルトで有効に--セキュリティの懸念は?

Joris Evers(CNET News.com) 2005年08月19日 11時38分

  • このエントリーをはてなブックマークに追加

 Windows Vistaのベータテスターらが、同OSにセキュリティ上のリスクとなるネットワーク関連機能があることを発見した・・・ただし、彼らはこれについては心配していないと言う。

 次期Windowクライアントのベータ版をインストールした一部のテスターらは、不審なネットワークトラフィックが自分のマシンに流れ込んでいることに気付いた。彼らは、攻撃の可能性を懸念し、先週このことをSANS Internet Storm Centerに報告した。

 「それまで目にしたことのなかった、かなり不審なトラフィックが流れていた」とダートマス大学のInstitute for Security Technology Studiesに所属するセキュリティ専門家で、SANSにも関与するGeorge Bakosは述べている。「何らかの新しい攻撃か、われわれの気付いていない脆弱性をだれかが探しているかもしれないという懸念があった」(Bakos)

 このトラフィックはインターネット上の複数のコンピュータから流れてきていたが、ベータテスターの知る限り、彼らのPCがそれらのコンピュータとデータをやりとりするはずはなかった。

 だが、SANSに代わってこのトラフィックを調査したBakosが、この問題の原因を突き止めた。このトラフィックは、実はWindows Vistaに搭載されたピアツーピア(PtoP)ネットワーキング機能のしわざだった。先月リリースされたWindows VistaのBeta 1では、これがデフォルトで有効になっていたのだ。同氏によると、この機能はMicrosoftのPeer Name Resolution Protocol(PNRP)の新バージョンを使うもので、インターネットに接続されるとすぐにほかのベータマシンに接続するという。

 Bakosによれば、この機能がデフォルトで有効になっていると、テスターのマシンがセキュリティ上の危険にさらされる可能性があるという。

 これは、Microsoftが包括的なセキュリティ構想の一環として採用した「設計時の安全確保、デフォルト設定での安全確保、そして導入時の安全確保」の原則に違反している。この原則では、ロックをかけて機能を無効にした状態で製品を提供することが求められている。

 このPtoP機能は、Windowsクライアント同士が直接接続して「PtoP群」を形成できるようにするためのもので、Microsoftではマルチプレーヤー対応ゲームなどにこの技術を応用する考えだ。ソフトウェア開発キットを利用すれば、サードパーティーのアプリケーションメーカーもこの機能を活用できる。

 この機能をデフォルトで有効にすることはあらゆる面でリスクが高いとBakosは言う。同システムは、セキュリティの問題が十分に調査されていないプロトコルを使ってインターネットと接続する。また、このPtoPサービスは接続されているコンピュータのディレクトリとしても機能するため、攻撃者がターゲットを見つけ出す際に利用される可能性もある。

 「不要なサービスやプロトコルが使われることで、セキュリティ上の新たなリスクが生じる。これ(PtoPサービス)の存在を認識した上で、このリスクを受け入れるかどうかを判断してほしい。このサービスを使って調べると、大量のWindows Vistaベータユーザーの情報が明らかになる」(Bakos)

 さらに、プライバシーの問題を懸念するユーザーの場合、個人を特定する新たな情報がマシンと関連づけられていることに不安を覚える可能性もあると、Bakosは指摘する。このPtoPサービスがPCに新しいIDを付与するからだ。

 Microsoftとしては、来年後半に出荷が予定されているWindows Vistaの正式版では、このPtoPサービスをデフォルトでは有効にするつもりはないと、WindowsプロダクトマネジャーのGreg Sullivanは説明している。つまり、この問題のリスクを抱えるのは、十分な対処が可能な技術に精通したベータテスターのマシンだけということになる。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化