脆弱性の情報開示はいかに失敗したか:DNS同時パッチの問題を理解する

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-07-23 17:02

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 米国時間7月7日、今では悪名高くなったDNSの設計上のセキュリティホールに対するパッチがリリースされる前日、ハッカーのDan Kaminsky氏は(Black Hat会議の主催者の助けを借りて)「今週火曜日にリリースされる大規模マルチベンダーパッチについて議論する」として記者会見に記者を呼んだ。

 Black Hat会議の記者のリストに送られた招待状には、「この規模の同時リリースはこれまでに例がない」と書かれていた。

 パッチがリリースされた時には、Kaminsky氏は影響力の大きいブロガーに説明を行い、ポッドキャストを録音し、Wall Street Journalで多読記事となり、BBCのトップページに掲載され、このような大規模な複数ベンダベンダによるパッチ公開を組織化したとして同業者からの尊敬を勝ち取った。

 今回のパッチの準備では、無数のセキュリティ関係者を巻き込んでいる中、6ヶ月間も秘密を守る必要があった。潜在的なパッチの問題を排除しなくてはならず、重要な勧告や緩和策を準備しなくてはならず、DNSフォワーディングの手順を準備しなくてはならなかった。不可能に近い仕事が、完璧に行われた。

 しかし、Kaminsky氏が認めたように、彼はハッカーコミュニティという、非常に好奇心が強く、互いの功績をうらやみ盗み合う傾向のある同業者たちをないがしろにするという大きな失敗を犯した。

 パッチがリリースされた後、Kaminsky氏は影響を受けたベンダーやエンドユーザーは、この修正をテストし準備するまでに少なくとも30日間を必要とすると主張して、技術的な詳細に関する情報を提供することを拒んだ。奇妙なことに、彼自身が提示した30日という期限はちょうどBlack Hat会議で終了し、Kaminsky氏はこの会議で午前11:15に舞台に上がり、彼の発見に対する賞賛を浴びることになっていた。

 Matasano Securityの社長Thomas Ptacek氏は、この秘密に異論を唱えた最初の1人だった。Kaminsky氏はただちに個人的なカンファレンスコールをお膳立てし、彼に秘密を漏らした。ハッカーからの信頼を得ているもう1人の研究者であるDino Dai Zovi氏もこれに加わった。このカンファレンスコールの後では、Ptacek氏とDai Zovi氏の双方が、この問題はただちに注意を必要とする、極めて重大なものであると認めた。

 これでは十分ではなかった。セキュリティ関係のメーリングリスト(Daily Dave、Full Disclosureなど)を見ていれば、反発が大きくなっていったのを感じられただろう。利用者が検証できる時間的余裕を設けるべきだというKaminsky氏の要望は(彼はバグを特定したが秘密を守った人には、Black Hatで同時に登壇することさえ約束した)、Ptacek氏も含めて誰も納得させなかった。

 有名な研究者たちが、この情報開示の「陰謀的」アプローチに対して不満を漏らしはじめ、パッチが公開された後でも考察や情報開示を行わないことは無責任と同じことだとおおっぴらに非難した。

 BINDで有名なPaul Vixie氏はKaminsky氏と一緒に情報開示を止めようとしたが、公に行われる推測が進んでいくことは明らかだった。誰か賢い人物が、DNSの問い合わせを偽造し悪用する方法を発見するのは時間の問題だった。

 情報開示すべきだと主張していた人たちの中で、このバグを(ほぼ)特定する仮説を公開したのはリバースエンジニアリングのグルであるHalvar Flake氏だった。

 Ptacek氏が社長を務めるMatasanoが、この仮説を事実上認め、不明だった部分を明らかにする記事を公表し(このブログ記事はすでに削除されているが、時すでに遅しだ)、Kaminsky氏はBlack Hatでの驚きは奪われたと認めざるを得なかった。Ptacek氏はその後謝罪したが、これに対するいらだちはあまりにも大きく、この世界での信用、協力関係、情報開示のあり方が今後も同じまま続くとは考えにくい。

 Kaminsky氏の情報開示差し止めに対して反対を唱え、これはBlack Hat会議のための過剰宣伝でしかないと主張する研究者はかなり多い。Kaminsky氏は自身がメディアハッカーだったが、パッチ公表前の会見や、Black Hatを宣伝するウェブキャストに登場したことはこれらの懸念を解消するのにほとんど役に立たなかったことを認めた。

 しかし、今回の流れの間、私はKaminsky氏が本当に、問題が起きる前にパッチを検証し適用するのに必要な時間をユーザーに与えようとしていたという感触を持っていた。Kaminsky氏はDNS関係の問題の深刻さについて信用を得るところまで来ていただけに、今回のような失敗が起こったのは残念なことだった。

 その多くが彼自身の問題だったとはいえ、結局のところ、彼はもっと相応しい評価を得ていたかも知れない。

 ここには、脆弱性に関する情報開示を取り巻く政治とドラマについて知ろうとする人にとっての教訓がある。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

「特集 : Zero Day」 バックナンバー

関連キーワード
セキュリティ

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

カテゴリランキング

  1. データベース指向の新OS「DBOS」--クラウド時代に対応する新たなアプローチ

  2. 必要なのは「生成AIアプリ」の視点--グーグル・クラウド平手代表が語る戦略

  3. NTTデータとテラスカイの資本業務提携--CX事業の着実な成長が目的

  4. パナソニック、グループ全社向け社内システムのデータベース環境をクラウド化

  5. オラクル、日本で今後10年間に1.2兆円以上の投資計画を発表--OCIなどに

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]