ZDNet Japan Brand Site:
ZDNet Japan
builder
スペシャル » 特集 » Zero Day

脆弱性の情報開示はいかに失敗したか:DNS同時パッチの問題を理解する

7月8日に多くのベンダが同時にパッチを公開したDNSに関する脆弱性に関する秘密は、発見者のKaminsky氏や関係者が守ろうとした30日間よりもずっと早く明らかになった。この背後で起こった出来事についてまとめる。

文:Ryan Naraine(Special to ZDNet.com)
翻訳校正:石橋啓一郎  2008年7月23日 17時02分

 米国時間7月7日、今では悪名高くなったDNSの設計上のセキュリティホールに対するパッチがリリースされる前日、ハッカーのDan Kaminsky氏は(Black Hat会議の主催者の助けを借りて)「今週火曜日にリリースされる大規模マルチベンダーパッチについて議論する」として記者会見に記者を呼んだ。

 Black Hat会議の記者のリストに送られた招待状には、「この規模の同時リリースはこれまでに例がない」と書かれていた。

 パッチがリリースされた時には、Kaminsky氏は影響力の大きいブロガーに説明を行い、ポッドキャストを録音し、Wall Street Journalで多読記事となり、BBCのトップページに掲載され、このような大規模な複数ベンダベンダによるパッチ公開を組織化したとして同業者からの尊敬を勝ち取った。

 今回のパッチの準備では、無数のセキュリティ関係者を巻き込んでいる中、6ヶ月間も秘密を守る必要があった。潜在的なパッチの問題を排除しなくてはならず、重要な勧告や緩和策を準備しなくてはならず、DNSフォワーディングの手順を準備しなくてはならなかった。不可能に近い仕事が、完璧に行われた。

 しかし、Kaminsky氏が認めたように、彼はハッカーコミュニティという、非常に好奇心が強く、互いの功績をうらやみ盗み合う傾向のある同業者たちをないがしろにするという大きな失敗を犯した。

 パッチがリリースされた後、Kaminsky氏は影響を受けたベンダーやエンドユーザーは、この修正をテストし準備するまでに少なくとも30日間を必要とすると主張して、技術的な詳細に関する情報を提供することを拒んだ。奇妙なことに、彼自身が提示した30日という期限はちょうどBlack Hat会議で終了し、Kaminsky氏はこの会議で午前11:15に舞台に上がり、彼の発見に対する賞賛を浴びることになっていた。

 Matasano Securityの社長Thomas Ptacek氏は、この秘密に異論を唱えた最初の1人だった。Kaminsky氏はただちに個人的なカンファレンスコールをお膳立てし、彼に秘密を漏らした。ハッカーからの信頼を得ているもう1人の研究者であるDino Dai Zovi氏もこれに加わった。このカンファレンスコールの後では、Ptacek氏とDai Zovi氏の双方が、この問題はただちに注意を必要とする、極めて重大なものであると認めた。

 これでは十分ではなかった。セキュリティ関係のメーリングリスト(Daily Dave、Full Disclosureなど)を見ていれば、反発が大きくなっていったのを感じられただろう。利用者が検証できる時間的余裕を設けるべきだというKaminsky氏の要望は(彼はバグを特定したが秘密を守った人には、Black Hatで同時に登壇することさえ約束した)、Ptacek氏も含めて誰も納得させなかった。

 有名な研究者たちが、この情報開示の「陰謀的」アプローチに対して不満を漏らしはじめ、パッチが公開された後でも考察や情報開示を行わないことは無責任と同じことだとおおっぴらに非難した。

 BINDで有名なPaul Vixie氏はKaminsky氏と一緒に情報開示を止めようとしたが、公に行われる推測が進んでいくことは明らかだった。誰か賢い人物が、DNSの問い合わせを偽造し悪用する方法を発見するのは時間の問題だった。

 情報開示すべきだと主張していた人たちの中で、このバグを(ほぼ)特定する仮説を公開したのはリバースエンジニアリングのグルであるHalvar Flake氏だった。

 Ptacek氏が社長を務めるMatasanoが、この仮説を事実上認め、不明だった部分を明らかにする記事を公表し(このブログ記事はすでに削除されているが、時すでに遅しだ)、Kaminsky氏はBlack Hatでの驚きは奪われたと認めざるを得なかった。Ptacek氏はその後謝罪したが、これに対するいらだちはあまりにも大きく、この世界での信用、協力関係、情報開示のあり方が今後も同じまま続くとは考えにくい。

 Kaminsky氏の情報開示差し止めに対して反対を唱え、これはBlack Hat会議のための過剰宣伝でしかないと主張する研究者はかなり多い。Kaminsky氏は自身がメディアハッカーだったが、パッチ公表前の会見や、Black Hatを宣伝するウェブキャストに登場したことはこれらの懸念を解消するのにほとんど役に立たなかったことを認めた。

 しかし、今回の流れの間、私はKaminsky氏が本当に、問題が起きる前にパッチを検証し適用するのに必要な時間をユーザーに与えようとしていたという感触を持っていた。Kaminsky氏はDNS関係の問題の深刻さについて信用を得るところまで来ていただけに、今回のような失敗が起こったのは残念なことだった。

 その多くが彼自身の問題だったとはいえ、結局のところ、彼はもっと相応しい評価を得ていたかも知れない。

 ここには、脆弱性に関する情報開示を取り巻く政治とドラマについて知ろうとする人にとっての教訓がある。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

関連情報

「セキュリティ」 の新着情報

「Zero Day」 のバックナンバー

ホワイトペーパー

もっと見る »

もっと見る »

もっと見る »

http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20377690,00.htm
脆弱性の情報開示はいかに失敗したか:DNS同時パッチの問題を理解する

Intel Video Series

sponsored by Intel
  • 13. ソースチェック
    この4分間のビデオでは、Intel Parallel Studioの一部であるIntel C++コ...
  • 14. OpenMP 3.0
    この3分間のビデオでは、Intel Parallel Composerで利用可能なOpeMP 3.0...

新着企業動向

話題のタグ

ZDNet Japan ニューズレター

企業情報システムの選択、導入、運用管理に役立つ情報を毎朝メール配信します。

ニューズレターの登録・登録情報変更 »