脆弱性の情報開示はいかに失敗したか:DNS同時パッチの問題を理解する

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008年07月23日 17時02分

  • このエントリーをはてなブックマークに追加

 米国時間7月7日、今では悪名高くなったDNSの設計上のセキュリティホールに対するパッチがリリースされる前日、ハッカーのDan Kaminsky氏は(Black Hat会議の主催者の助けを借りて)「今週火曜日にリリースされる大規模マルチベンダーパッチについて議論する」として記者会見に記者を呼んだ。

 Black Hat会議の記者のリストに送られた招待状には、「この規模の同時リリースはこれまでに例がない」と書かれていた。

 パッチがリリースされた時には、Kaminsky氏は影響力の大きいブロガーに説明を行い、ポッドキャストを録音し、Wall Street Journalで多読記事となり、BBCのトップページに掲載され、このような大規模な複数ベンダベンダによるパッチ公開を組織化したとして同業者からの尊敬を勝ち取った。

 今回のパッチの準備では、無数のセキュリティ関係者を巻き込んでいる中、6ヶ月間も秘密を守る必要があった。潜在的なパッチの問題を排除しなくてはならず、重要な勧告や緩和策を準備しなくてはならず、DNSフォワーディングの手順を準備しなくてはならなかった。不可能に近い仕事が、完璧に行われた。

 しかし、Kaminsky氏が認めたように、彼はハッカーコミュニティという、非常に好奇心が強く、互いの功績をうらやみ盗み合う傾向のある同業者たちをないがしろにするという大きな失敗を犯した。

 パッチがリリースされた後、Kaminsky氏は影響を受けたベンダーやエンドユーザーは、この修正をテストし準備するまでに少なくとも30日間を必要とすると主張して、技術的な詳細に関する情報を提供することを拒んだ。奇妙なことに、彼自身が提示した30日という期限はちょうどBlack Hat会議で終了し、Kaminsky氏はこの会議で午前11:15に舞台に上がり、彼の発見に対する賞賛を浴びることになっていた。

 Matasano Securityの社長Thomas Ptacek氏は、この秘密に異論を唱えた最初の1人だった。Kaminsky氏はただちに個人的なカンファレンスコールをお膳立てし、彼に秘密を漏らした。ハッカーからの信頼を得ているもう1人の研究者であるDino Dai Zovi氏もこれに加わった。このカンファレンスコールの後では、Ptacek氏とDai Zovi氏の双方が、この問題はただちに注意を必要とする、極めて重大なものであると認めた。

 これでは十分ではなかった。セキュリティ関係のメーリングリスト(Daily Dave、Full Disclosureなど)を見ていれば、反発が大きくなっていったのを感じられただろう。利用者が検証できる時間的余裕を設けるべきだというKaminsky氏の要望は(彼はバグを特定したが秘密を守った人には、Black Hatで同時に登壇することさえ約束した)、Ptacek氏も含めて誰も納得させなかった。

 有名な研究者たちが、この情報開示の「陰謀的」アプローチに対して不満を漏らしはじめ、パッチが公開された後でも考察や情報開示を行わないことは無責任と同じことだとおおっぴらに非難した。

 BINDで有名なPaul Vixie氏はKaminsky氏と一緒に情報開示を止めようとしたが、公に行われる推測が進んでいくことは明らかだった。誰か賢い人物が、DNSの問い合わせを偽造し悪用する方法を発見するのは時間の問題だった。

 情報開示すべきだと主張していた人たちの中で、このバグを(ほぼ)特定する仮説を公開したのはリバースエンジニアリングのグルであるHalvar Flake氏だった。

 Ptacek氏が社長を務めるMatasanoが、この仮説を事実上認め、不明だった部分を明らかにする記事を公表し(このブログ記事はすでに削除されているが、時すでに遅しだ)、Kaminsky氏はBlack Hatでの驚きは奪われたと認めざるを得なかった。Ptacek氏はその後謝罪したが、これに対するいらだちはあまりにも大きく、この世界での信用、協力関係、情報開示のあり方が今後も同じまま続くとは考えにくい。

 Kaminsky氏の情報開示差し止めに対して反対を唱え、これはBlack Hat会議のための過剰宣伝でしかないと主張する研究者はかなり多い。Kaminsky氏は自身がメディアハッカーだったが、パッチ公表前の会見や、Black Hatを宣伝するウェブキャストに登場したことはこれらの懸念を解消するのにほとんど役に立たなかったことを認めた。

 しかし、今回の流れの間、私はKaminsky氏が本当に、問題が起きる前にパッチを検証し適用するのに必要な時間をユーザーに与えようとしていたという感触を持っていた。Kaminsky氏はDNS関係の問題の深刻さについて信用を得るところまで来ていただけに、今回のような失敗が起こったのは残念なことだった。

 その多くが彼自身の問題だったとはいえ、結局のところ、彼はもっと相応しい評価を得ていたかも知れない。

 ここには、脆弱性に関する情報開示を取り巻く政治とドラマについて知ろうとする人にとっての教訓がある。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化