Windows Vista、PtoP機能がデフォルトで有効に--セキュリティの懸念は?

Joris Evers(CNET News.com) 2005年08月19日 11時38分

  • このエントリーをはてなブックマークに追加

 Windows Vistaのベータテスターらが、同OSにセキュリティ上のリスクとなるネットワーク関連機能があることを発見した・・・ただし、彼らはこれについては心配していないと言う。

 次期Windowクライアントのベータ版をインストールした一部のテスターらは、不審なネットワークトラフィックが自分のマシンに流れ込んでいることに気付いた。彼らは、攻撃の可能性を懸念し、先週このことをSANS Internet Storm Centerに報告した。

 「それまで目にしたことのなかった、かなり不審なトラフィックが流れていた」とダートマス大学のInstitute for Security Technology Studiesに所属するセキュリティ専門家で、SANSにも関与するGeorge Bakosは述べている。「何らかの新しい攻撃か、われわれの気付いていない脆弱性をだれかが探しているかもしれないという懸念があった」(Bakos)

 このトラフィックはインターネット上の複数のコンピュータから流れてきていたが、ベータテスターの知る限り、彼らのPCがそれらのコンピュータとデータをやりとりするはずはなかった。

 だが、SANSに代わってこのトラフィックを調査したBakosが、この問題の原因を突き止めた。このトラフィックは、実はWindows Vistaに搭載されたピアツーピア(PtoP)ネットワーキング機能のしわざだった。先月リリースされたWindows VistaのBeta 1では、これがデフォルトで有効になっていたのだ。同氏によると、この機能はMicrosoftのPeer Name Resolution Protocol(PNRP)の新バージョンを使うもので、インターネットに接続されるとすぐにほかのベータマシンに接続するという。

 Bakosによれば、この機能がデフォルトで有効になっていると、テスターのマシンがセキュリティ上の危険にさらされる可能性があるという。

 これは、Microsoftが包括的なセキュリティ構想の一環として採用した「設計時の安全確保、デフォルト設定での安全確保、そして導入時の安全確保」の原則に違反している。この原則では、ロックをかけて機能を無効にした状態で製品を提供することが求められている。

 このPtoP機能は、Windowsクライアント同士が直接接続して「PtoP群」を形成できるようにするためのもので、Microsoftではマルチプレーヤー対応ゲームなどにこの技術を応用する考えだ。ソフトウェア開発キットを利用すれば、サードパーティーのアプリケーションメーカーもこの機能を活用できる。

 この機能をデフォルトで有効にすることはあらゆる面でリスクが高いとBakosは言う。同システムは、セキュリティの問題が十分に調査されていないプロトコルを使ってインターネットと接続する。また、このPtoPサービスは接続されているコンピュータのディレクトリとしても機能するため、攻撃者がターゲットを見つけ出す際に利用される可能性もある。

 「不要なサービスやプロトコルが使われることで、セキュリティ上の新たなリスクが生じる。これ(PtoPサービス)の存在を認識した上で、このリスクを受け入れるかどうかを判断してほしい。このサービスを使って調べると、大量のWindows Vistaベータユーザーの情報が明らかになる」(Bakos)

 さらに、プライバシーの問題を懸念するユーザーの場合、個人を特定する新たな情報がマシンと関連づけられていることに不安を覚える可能性もあると、Bakosは指摘する。このPtoPサービスがPCに新しいIDを付与するからだ。

 Microsoftとしては、来年後半に出荷が予定されているWindows Vistaの正式版では、このPtoPサービスをデフォルトでは有効にするつもりはないと、WindowsプロダクトマネジャーのGreg Sullivanは説明している。つまり、この問題のリスクを抱えるのは、十分な対処が可能な技術に精通したベータテスターのマシンだけということになる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算