米国時間7月7日、今では悪名高くなったDNSの設計上のセキュリティホールに対するパッチがリリースされる前日、ハッカーのDan Kaminsky氏は(Black Hat会議の主催者の助けを借りて)「今週火曜日にリリースされる大規模マルチベンダーパッチについて議論する」として記者会見に記者を呼んだ。
Black Hat会議の記者のリストに送られた招待状には、「この規模の同時リリースはこれまでに例がない」と書かれていた。
パッチがリリースされた時には、Kaminsky氏は影響力の大きいブロガーに説明を行い、ポッドキャストを録音し、Wall Street Journalで多読記事となり、BBCのトップページに掲載され、このような大規模な複数ベンダベンダによるパッチ公開を組織化したとして同業者からの尊敬を勝ち取った。
今回のパッチの準備では、無数のセキュリティ関係者を巻き込んでいる中、6ヶ月間も秘密を守る必要があった。潜在的なパッチの問題を排除しなくてはならず、重要な勧告や緩和策を準備しなくてはならず、DNSフォワーディングの手順を準備しなくてはならなかった。不可能に近い仕事が、完璧に行われた。
しかし、Kaminsky氏が認めたように、彼はハッカーコミュニティという、非常に好奇心が強く、互いの功績をうらやみ盗み合う傾向のある同業者たちをないがしろにするという大きな失敗を犯した。
パッチがリリースされた後、Kaminsky氏は影響を受けたベンダーやエンドユーザーは、この修正をテストし準備するまでに少なくとも30日間を必要とすると主張して、技術的な詳細に関する情報を提供することを拒んだ。奇妙なことに、彼自身が提示した30日という期限はちょうどBlack Hat会議で終了し、Kaminsky氏はこの会議で午前11:15に舞台に上がり、彼の発見に対する賞賛を浴びることになっていた。
Matasano Securityの社長Thomas Ptacek氏は、この秘密に異論を唱えた最初の1人だった。Kaminsky氏はただちに個人的なカンファレンスコールをお膳立てし、彼に秘密を漏らした。ハッカーからの信頼を得ているもう1人の研究者であるDino Dai Zovi氏もこれに加わった。このカンファレンスコールの後では、Ptacek氏とDai Zovi氏の双方が、この問題はただちに注意を必要とする、極めて重大なものであると認めた。
これでは十分ではなかった。セキュリティ関係のメーリングリスト(Daily Dave、Full Disclosureなど)を見ていれば、反発が大きくなっていったのを感じられただろう。利用者が検証できる時間的余裕を設けるべきだというKaminsky氏の要望は(彼はバグを特定したが秘密を守った人には、Black Hatで同時に登壇することさえ約束した)、Ptacek氏も含めて誰も納得させなかった。
有名な研究者たちが、この情報開示の「陰謀的」アプローチに対して不満を漏らしはじめ、パッチが公開された後でも考察や情報開示を行わないことは無責任と同じことだとおおっぴらに非難した。
BINDで有名なPaul Vixie氏はKaminsky氏と一緒に情報開示を止めようとしたが、公に行われる推測が進んでいくことは明らかだった。誰か賢い人物が、DNSの問い合わせを偽造し悪用する方法を発見するのは時間の問題だった。
情報開示すべきだと主張していた人たちの中で、このバグを(ほぼ)特定する仮説を公開したのはリバースエンジニアリングのグルであるHalvar Flake氏だった。
Ptacek氏が社長を務めるMatasanoが、この仮説を事実上認め、不明だった部分を明らかにする記事を公表し(このブログ記事はすでに削除されているが、時すでに遅しだ)、Kaminsky氏はBlack Hatでの驚きは奪われたと認めざるを得なかった。Ptacek氏はその後謝罪したが、これに対するいらだちはあまりにも大きく、この世界での信用、協力関係、情報開示のあり方が今後も同じまま続くとは考えにくい。
Kaminsky氏の情報開示差し止めに対して反対を唱え、これはBlack Hat会議のための過剰宣伝でしかないと主張する研究者はかなり多い。Kaminsky氏は自身がメディアハッカーだったが、パッチ公表前の会見や、Black Hatを宣伝するウェブキャストに登場したことはこれらの懸念を解消するのにほとんど役に立たなかったことを認めた。
しかし、今回の流れの間、私はKaminsky氏が本当に、問題が起きる前にパッチを検証し適用するのに必要な時間をユーザーに与えようとしていたという感触を持っていた。Kaminsky氏はDNS関係の問題の深刻さについて信用を得るところまで来ていただけに、今回のような失敗が起こったのは残念なことだった。
その多くが彼自身の問題だったとはいえ、結局のところ、彼はもっと相応しい評価を得ていたかも知れない。
ここには、脆弱性に関する情報開示を取り巻く政治とドラマについて知ろうとする人にとっての教訓がある。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
関連情報
-
Halvar氏がトップシークレットのDNS脆弱性の内容を看破
リバースエンジニアリングで有名なFlake氏が、大規模同時パッチが行われたDNSのキャッシュポイズニング脆弱性の技術的な詳細に関する推測を公開し、Kaminsky氏はこれを認めた。 - Dan Kaminsky氏がDNSを破る:大規模なマルチベンダパッチが公開される
「セキュリティ」 の新着情報
-
日本IBM、ICカードや生体認証デバイスに対応したアクセス管理製品の新バージョン
日本IBMは、アクセス管理ソフトウェアの最新版である「IBM Tivoli Access Manager for Enterprise Single Sign-On V8.1」を発... - IE 7のゼロデイ脆弱性に攻撃コードが公開される
- Operaにセキュリティパッチ--「極めて重大」な脆弱性を修正
- 「iPhone」と「iPod touch」を狙う危険なワームが出現
- マイクロソフト、「IE」のCSS処理に関する脆弱性を調査中と発表
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
Operaにセキュリティパッチ--「極めて重大」な脆弱性を修正
Operaに3件の脆弱性が修正されたバージョン10.10が公開された。そのうち1件は「非常に重大」な脆弱性であり、Operaユーザーは速やかにアップグレードを行うべきだ。 -
マイクロソフトがGoogle Chrome Frameにセキュリティホールを発見
-
モジラがFirefox 3.6で悪質アドオン対策を実装
-
Windows 7の脆弱性に対する攻撃コードが公開される
-
アップルはなぜWindowsのAutoRunに干渉しようとするのか
- Zero Day 一覧へ »
-
日本モバイルインターネット端末市場分析 〜2008〜2012年のMID及びスマートフォン...
- POSデータを活用し、売上アップを導く「分析力」とは?
- BIベンダーの選び方 −BIベンダー選定のための評価フレームワーク
- 【導入事例集】多業種から評価されているWeb会議システム、24社の導入事例をご紹介
- CRMの限界を超える!「顧客経験価値マネジメント」実現の5段階
- 企業コスト削減の傾向と対策 〜最新アプローチのトレンド〜
- 【日産自動車:BI導入事例】連結対象の36社からの情報を元に車種別損益管理を実現
- ストレージ問題の課題に対する解決方法
- iPhoneをビジネスで活用する時代へ〜ビジネス&モバイルのミライ〜
- 中堅企業におけるテクノロジーと成長
企画特集
-
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
高まるiSCSIストレージへの注目度
ストレージシステムの4つの課題とiSCSI導入のメリット -
電力に"ふた"をする独自の省エネ機能とは!?
動的に電力割り当ても可能なHPの最新鋭ブレードに迫る -
グリー、3人のエンジニアが語る仕事への想い
連載第2話、元SIerに聞くリニューアルと開発の舞台裏 -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
容量制限によるメール消去は一切無し!
全てを保存するメールセキュリティSaaSが登場 -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中
Intel Video Series
-
3.Composer概要
Intel Parallel Studioの一部であり、並列プログラムを実装するために役... -
4. Inspector概要
Intel Parallel Studioの一部であり、順次および並列プログラムでメモリ...
