ネットワーク認証技術「Kerberos」に2件の脆弱性--専門家らが警告

　ネットワーク認証で広く利用される技術で発見された2件の重大なセキュリティ脆弱性により、多くのソフトウェア製品が攻撃の脅威にさらされていると、専門家らが注意を呼びかけている。

　今回発見された脆弱性を悪用すると、攻撃者は、「Kerberos」認証を利用するマシンをクラッシュさせたり乗っ取ったりすることが可能になる。Kerberosは、マサチューセッツ工科大学（MIT）が開発した、無償で利用可能な認証技術である。

　MITは米国時間12日に発表した2つの勧告のなかで、同脆弱性を「重大」と分類している。また、同校は問題を修正するパッチを公開すると同時に、攻撃者がこのバグを悪用することは「困難と思われる」と述べた。

　何社かのソフトウェアメーカーは、既に自社製品のアップデートをリリースし、問題に対処している。例えばRed HatやTurbolinux、Gentooなどは、それぞれのLinuxディストリビューション用の修正パッチを配布している。Sun Microsystemsは米国時間12日、複数のバージョンのSolarisに脆弱性が存在することを認める警告を2件発表した。ただし、Solarisのこれらの脆弱性に対処するパッチはまだ公開されていない。

　Kerberosは広く利用されているので、今後も多くのベンダーがこの件に関するセキュリティ警告を出すだろうと、PreventsysのCTO、Brian Grayekは述べる。同氏は「今後、大量にパッチが公開されるであろう」と予測する。

　Microsoftも同じくKerberosを使用している。しかし、同社は、自社で独自に開発したバージョンを使用しているため、これらの脆弱性の影響は受けない。

　MITによれば、これら2つの脆弱性の影響を受けるのは、Kerberos 5 Release 1.4.1以前のバージョンであるという。

　セキュリティ監視企業のSecuniaは、今回の問題を、同社での評価体系のなかで2番目に深刻なレベルである「極めて重大」と分類している。French Security Incident Response Team（FSIRT）は、最高ランクである「重大」と脆弱性を評価している。

　PreventsysのGrayekは今回の脆弱性について、重大なリスクを抱えるものであると述べた上で、攻撃に悪用するのは難しいと指摘した。「今回の脆弱性を悪用するには、非常に高度な知識が必要である」（Grayek）

　Kerberosの脆弱性が発見されるのは、今回が最初ではない。MITは3月にKerberosのtelnet プログラムで発見された「深刻」と分類される脆弱性について、警告を発している。また2004年8月には、「重大」と分類される脆弱性が発見され、パッチが公開されている。

　7月に入り、やはり広く利用されるオープンソースのデータ圧縮技術である「zlib」に脆弱性が見つかり、同じような製品が攻撃を受けるおそれが発生していた。この脆弱性は、攻撃者が特別に用意したファイルを使って、コンピュータを乗っ取ったり、zlibを利用するアプリケーションをクラッシュさせたりすることを可能にするものだった。