IEの脆弱性でMicrosoftが大混乱
それが変化し始めたのは1997年3月、Internet Explorer(IE)の深刻な脆弱性が最初に見つかったときだ。Worcester Polytechnic Instituteの研究者らが、.LNKファイルというブラウザのショートカットの脆弱性を発見した。Microsoftは大慌てで問題に対処したが、脆弱性の話はケーブルテレビのニュースで報道された。その数時間後、メリーランド大学の研究者が別の問題を発見してMicrosoftに連絡した。
IEチームはちょうど新しいビルに引越しの最中で、Stathakopoulos氏もそのうちの一人だった。機材の大半は箱詰めされていて、タイミングは最悪だった。電源コードもダンボールにしまいこんでいたため、チームのノートパソコンの電池が切れる前に、電源装置を買いに行かなければならなかった。現在は技術戦略担当シニアディレクターを務めるJason Garms氏が、同社初のセキュリティ速報をWindowsのNotepadを使って執筆し、フロッピーにコピーしてユーザーに配布できるようにした。
当時のこの会社には、外部の人間がセキュリティのバグをMicrosoftのエンジニアに直接通報できるシステムすら備わっていなかった。IEの脆弱性が明るみに出たのは、誰かがMicrosoftのサポートラインに通報して、事態が次第にエスカレートしたからだった。
Stathakopoulos氏は当時のちぐはくな体制を思い出しながら述懐する。「我々は口々に、『これんなことはやめなきゃね』と言った。体制が機能していなかった」
そのバグの後、MicrosoftはInternet Explorerセキュリティグループとは別に、Microsoft Security Response Teamを編成した。また、問題だと思われる課題について社外の人が報告できる電子メールアドレスも公開した。
Microsoft Security Response Teamは有志から成るチームだった。メンバーはみな日常業務を持っていたが、セキュリティ問題が発生したときのヘルプに関心を寄せる人たちだった。
これらの初期のIEの脆弱性は、インターネットの規模が引き起こす危険性についてMicrosoftの目を覚まさせるものであったが、同社はセキュリティ戦略を完全装備するまでに、第二、第三の攻撃の波を受けた。
1999年7月23日、Melissaウイルスの襲来によって、不明な送信者からの電子メールを回避すれば、大半の攻撃を回避できるという、当時のインターネットセキュリティの柱の一つが崩れ落ちた。
Stathakopoulos氏はワームの作成者について、「彼らはユーザーとアドレスブックの間の信頼関係を断ち切った」と述べた。
MelissaやI Love Youなどの大量メーラーは全くの困り者だった。多くの企業はウイルスが送る膨大な数のメッセージで自社のメールシステムがパンクしたからだ。しかし、大量メーラーが攻撃用のペイロード(弾頭)を装備すると、脅威はさらに強まった。Stathakopoulos氏は当時を「兵器による」脆弱性の時代だったと呼ぶ。
2001年半ばに起きたCode RedとNimdaの攻撃は、Microsoftの顧客企業に深刻な打撃を与え、セキュリティチームだけでなく同社の幹部までが頭を抱えることになった。
Code RedとNimdaの発生を受け、Gartnerは企業はMicrosoftのInternet Information Server製品を撤去し、他者製品に乗り換えることを「今すぐ」検討すべきだというレポートを発表した。これはもうひとつの手痛い教訓だったとCushman氏は語る。「大発生が起きるのではと、IISチームの一人ひとりが自分の責任を感じていた」。チームはそのレポートが誤報であると気付いた。そして、Microsoftのトップクラスのセキュリティ専門家を呼んで、より優れたコードを書くようメンバーを教育し、不良なプログラムを製品から一掃することを狙った「バグバッシュ」を行うなど、新たな策を講じた。
2001年の末、Gates会長はMicrosoftの対応について草案を練り始めていた。それは「January 2002 Trustworthy Computing 」という不名誉なメモとして残っている。
Gates会長は社員向けの文書に次のように書いた。「機能を追加するか、セキュリティ問題を解決するかで選択を迫られたら、セキュリティを選択する必要がある。当社の製品は、出荷時点からセキュリティを強調する必要がある」
しかし、Microsoftの会長の言葉を誰もがそのまま信じたわけではなかった。
当時モントリオールのZero-Knowledge Systemsに勤務し、現在Microsoftのシニアプログラムマネージャーとして同社の安全運用開発アプローチに携わるAdam Shostack氏は、「あの時はあれはPR構想だと思っていた」と語る。MicrosoftがGates会長の発言を守って行動に移したその後数ヶ月で、Shostack氏は考えが変わったと述べた。
MicrosoftはWindowsの開発作業を事実上すべてストップし、1ヶ月の間、エンジニア全員をセキュリティ関連業務に集中させた。
しかし、厳格なコード作成慣行の例を示したものではなく、問題を発生源でつぶすことを意図した力仕事の作業といったところだった。
Thomlinson氏は「『エンジニアを全員集めて、コードの見直しをさせろ』というようなもので、セキュリティ技術としては未熟なものだった」と語る。
にもかかわらず、バグは他人事だとして軽視しようとする空気が依然として社内にあった。
Stathakopoulos氏は「昔はレポートを読んでも、『これはセキュリティバグなんかじゃないね』と言っていた」と語る。
しかし、2001年の暮れにNash氏がセキュリティチームのリーダーに任命されると、疑わしいセキュリティ問題はすべてさらけ出し、世間に公開するという違った手法を持ち込んだ。Stathakopoulos氏は「Nash氏は、『ダメダメ、(社外に対して)ガラス張りにしなきゃならないんだ』と言っていた」と語り、当時チームメンバーが、Nash氏を気でも狂ったのではないかと思っていたことを回想した。
「うちの会社の製品は良くないとみんなが思っていたから、そんな問題をもっと言い始めたら、うちの会社は最悪だと思われるだろう」と、Stathakopoulos氏は当時の議論を語った。しかしNash氏は一歩も譲らず、Microsoftは最初はひどい批判を受けるかもしれないが、時を経るにつれて尊敬されるようになると主張した。
