- Japan Edition
- ZDNet is available in the following editions:
- Austrailia
- Asia
- China
- France
- Germany
- United Kingdom
- USA
- Blog
- ホワイトペーパー
- 企業情報センター
- アメリカ発
- builder by ZDNet Japan
- CNET Japan
- TechRepublic Japan
シスコのIOS脆弱性問題で新たな動き--ISS、情報公開サイトに停止命令
- 印刷
-
メール
-
ダウンロード
ラスベガス発--Cisco Systemsのルータに存在する脆弱性について、オンラインで詳細を公開していた人物に対する訴訟の可能性が持ち上がった。
Richard Fornoというセキュリティ専門家兼ライターが、Internet Security Systems(ISS)の弁護士団から停止命令を受け取ったことを、電子メールで明らかにした。Fornoはこれを受けて、自らのウェブサイト「Infowarrior.org」に掲載していたこの脆弱性の詳細を削除し、代わりに、ISSの弁護を務めるPiper Rudnick Gray Cary弁護事務所から送信されてきたというファックスを公開した。
ISSが弁護士に、このプレゼンテーションを公開しているウェブサイトに対して行動を起こすよう依頼したかどうかについて、米国時間29日晩に同社関係者に確認を求めたが、すぐには返答を得られなかった。一方、Ciscoの関係者は、同社とISSはこの問題にともに取り組んでいるが、上記の停止命令を送付したのはISSであると聞いていると語った。
このプレゼンテーションは、Michael Lynnというセキュリティ研究者が米国時間27日、ラスベガスの「Black Hat」セキュリティカンファレンスで行った講演「聖杯:CiscoのIOSシェルコードとそのリモート実行(The Holy Grail: Cisco IOS Shellcode and Remote Execution.)」に使ったスライドの初期バージョンのようだ。
LynnはBlack Hatカンファレンスで、CiscoとISSの意図に逆らって、セキュリティ上の欠陥をつくCisco製ルータのハッキング方法をデモし、場内を騒然とさせた。CiscoおよびISSは、イベントの直前にLynnの講演の中止を決定していたが、同氏はISSでの職を投げ打って、このプレゼンテーションを敢行していた。
CiscoとISSはその後、LynnとBlack Hatの主催者を相手取り、一時差し止め命令を求める訴えを起こしたが、両者は米国時間28日に合意に達し、Lynnは2度とBlack Hatで話した情報を明らかにしないことに合意した。同氏はまた、自分の手元にあるCiscoのソースコードをすべて返却することになった。
同イベントの内容を記した小冊子からは、このプレゼンテーションについての情報が削除された。Black Hatが始まる数時間前に、Ciscoが雇ったアルバイトが小冊子の該当ページをカットしたと、Black Hatの主催者は米国時間28日に述べた。またCD-ROMも破壊され、新しいものと交換された。しかし、一部のイベント参加者はオリジナルのディスクを入手できたと述べていた。
Lynnは講演のなかで、CiscoのInternetwork Operating System(ISO)に存在することが知られているセキュリティ脆弱性を衝いて、同OS上で攻撃用コードを動かす方法の概要を説明した。このソフトウェアは、インターネットのインフラを構成しているCiscoのルーターで動くもので、大規模な攻撃が発生した場合、インターネットに大きな被害を与える可能性があるため、迅速な行動が必要とされていると、Lynnは語った。
このスライドは、「Crytome.org」など他のウェブサイトで、いまでも一般向けに公開されている。また、このプレゼンテーションは、米国時間29日にセキュリティ関連の人気の高いメーリングリスト「Full Disclosure」でも配布された。
Black Hatは米国時間28日に閉幕したが、それよりもカジュアルなハッカーの集まりである「DefCon」では、Michael Lynnはインターネットの防御に役立つ可能性のある情報を公開した英雄として歓迎された。DefConの参加者らは、CiscoとISSが自らの損得しか考えておらず、顧客のセキュリティについて注意を払っていないと、両社を避難した。
Lynnの弁護士であるJennifer Granickは、米国時間29日に、Lynnが連邦当局による捜査の対象になっていると述べた。同社は、LynnとISSおよびCiscoの間で合意に達したことから、この捜査が間もなく終わるだろうとしただけで、それ以上の詳細を明かさなかった。
Ciscoは米国時間29日に、Lynnが明らかにしたIOSの脆弱性について詳細を記したセキュリティ勧告を公開し、これを悪用された場合ルータが乗っ取られる可能性があることを認めた。
Ciscoでは、ハッカーがこの脆弱性を悪用するには、ルーターに直接接続する必要があり、ネット経由のリモートアクセスでは不可能であるため、その被害は限定的であると主張している。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)
関連ホワイトペーパー
- 人気カテゴリ
- 経営
- セキュリティ
- クラウドコンピューティング
- 仮想化
- ビジネスアプリケーション
- モバイル
SpecialPR
-
日本企業はデジタル時代の「ルネサンス」を迎える?その真実とはレガシーなITシステムの呪縛を絶ち、改革への第一歩を踏み出す!
日本企業はデジタル時代の「ルネサンス」を迎える?その真実とは連載
- CIO
- 教育IT“本格始動”
- 月刊 Windows 10移行の心・技・体
- ITアナリストが知る日本企業の「ITの盲点」
- シェアリングエコノミーの衝撃
- デジタル“失敗学”
- コンサルティング現場のカラクリ
- Rethink Internet:インターネット再考
- インシデントをもたらすヒューマンエラー
- トランザクションの今昔物語
- エリック松永のデジタルIQ道場
- 研究現場から見たAI
- Fintechの正体
- 米ZDNet編集長Larryの独り言
- 大木豊成「仕事で使うアップルのトリセツ」
- 山本雅史「ハードから読み解くITトレンド放談」
- 田中克己「展望2020年のIT企業」
- 松岡功「一言もの申す」
- 松岡功「今週の明言」
- 内山悟志「IT部門はどこに向かうのか」
- 林 雅之「デジタル未来からの手紙」
- 谷川耕一「エンプラITならこれは知っとけ」
- 大河原克行「エンプラ徒然」
- 内製化とユーザー体験の関係
- 「プロジェクトマネジメント」の解き方
- ITは「ひみつ道具」の夢を見る
- セキュリティ
- セキュリティインシデント対応の現場
- エンドポイントセキュリティの4つの「基礎」
- 企業セキュリティの歩き方
- サイバーセキュリティ未来考
- ネットワークセキュリティの要諦
- セキュリティの論点
- スペシャル
- エンタープライズAIの隆盛
- インシュアテックで変わる保険業界
- 顧客は勝手に育たない--MAツール導入の心得
- 「ひとり情シス」の本当のところ
- ざっくり解決!SNS担当者お悩み相談室
- 生産性向上に効くビジネスITツール最前線
- ざっくりわかるSNSマーケティング入門
- 課題解決のためのUI/UX
- 誰もが開発者になる時代 ~業務システム開発の現場を行く~
- 「Windows 10」法人導入の手引き
- ソフトウェア開発パラダイムの進化
- エンタープライズトレンド
- 10の事情
- 座談会@ZDNet
- Dr.津田のクラウドトップガン対談
- Gartner Symposium
- IBM World of Watson
- de:code
- Sapphire Now
- VMworld
- Microsoft Inspire
- Microsoft Connect()
- HPE Discover
- Oracle OpenWorld
- Dell Technologies World
- AWS re:Invent
- AWS Summit
- PTC LiveWorx
- 吉田行男「より賢く活用するためのOSS最新動向」
- 古賀政純「Dockerがもたらすビジネス変革」
- 中国ビジネス四方山話
- ベトナムでビジネス
- 日本株展望
- 企業決算
新着ホワイトペーパー
ホワイトペーパーランキング
カテゴリーランキング
ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。