脆弱性の情報開示はいかに失敗したか:DNS同時パッチの問題を理解する

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-07-23 17:02

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 米国時間7月7日、今では悪名高くなったDNSの設計上のセキュリティホールに対するパッチがリリースされる前日、ハッカーのDan Kaminsky氏は(Black Hat会議の主催者の助けを借りて)「今週火曜日にリリースされる大規模マルチベンダーパッチについて議論する」として記者会見に記者を呼んだ。

 Black Hat会議の記者のリストに送られた招待状には、「この規模の同時リリースはこれまでに例がない」と書かれていた。

 パッチがリリースされた時には、Kaminsky氏は影響力の大きいブロガーに説明を行い、ポッドキャストを録音し、Wall Street Journalで多読記事となり、BBCのトップページに掲載され、このような大規模な複数ベンダベンダによるパッチ公開を組織化したとして同業者からの尊敬を勝ち取った。

 今回のパッチの準備では、無数のセキュリティ関係者を巻き込んでいる中、6ヶ月間も秘密を守る必要があった。潜在的なパッチの問題を排除しなくてはならず、重要な勧告や緩和策を準備しなくてはならず、DNSフォワーディングの手順を準備しなくてはならなかった。不可能に近い仕事が、完璧に行われた。

 しかし、Kaminsky氏が認めたように、彼はハッカーコミュニティという、非常に好奇心が強く、互いの功績をうらやみ盗み合う傾向のある同業者たちをないがしろにするという大きな失敗を犯した。

 パッチがリリースされた後、Kaminsky氏は影響を受けたベンダーやエンドユーザーは、この修正をテストし準備するまでに少なくとも30日間を必要とすると主張して、技術的な詳細に関する情報を提供することを拒んだ。奇妙なことに、彼自身が提示した30日という期限はちょうどBlack Hat会議で終了し、Kaminsky氏はこの会議で午前11:15に舞台に上がり、彼の発見に対する賞賛を浴びることになっていた。

 Matasano Securityの社長Thomas Ptacek氏は、この秘密に異論を唱えた最初の1人だった。Kaminsky氏はただちに個人的なカンファレンスコールをお膳立てし、彼に秘密を漏らした。ハッカーからの信頼を得ているもう1人の研究者であるDino Dai Zovi氏もこれに加わった。このカンファレンスコールの後では、Ptacek氏とDai Zovi氏の双方が、この問題はただちに注意を必要とする、極めて重大なものであると認めた。

 これでは十分ではなかった。セキュリティ関係のメーリングリスト(Daily Dave、Full Disclosureなど)を見ていれば、反発が大きくなっていったのを感じられただろう。利用者が検証できる時間的余裕を設けるべきだというKaminsky氏の要望は(彼はバグを特定したが秘密を守った人には、Black Hatで同時に登壇することさえ約束した)、Ptacek氏も含めて誰も納得させなかった。

 有名な研究者たちが、この情報開示の「陰謀的」アプローチに対して不満を漏らしはじめ、パッチが公開された後でも考察や情報開示を行わないことは無責任と同じことだとおおっぴらに非難した。

 BINDで有名なPaul Vixie氏はKaminsky氏と一緒に情報開示を止めようとしたが、公に行われる推測が進んでいくことは明らかだった。誰か賢い人物が、DNSの問い合わせを偽造し悪用する方法を発見するのは時間の問題だった。

 情報開示すべきだと主張していた人たちの中で、このバグを(ほぼ)特定する仮説を公開したのはリバースエンジニアリングのグルであるHalvar Flake氏だった。

 Ptacek氏が社長を務めるMatasanoが、この仮説を事実上認め、不明だった部分を明らかにする記事を公表し(このブログ記事はすでに削除されているが、時すでに遅しだ)、Kaminsky氏はBlack Hatでの驚きは奪われたと認めざるを得なかった。Ptacek氏はその後謝罪したが、これに対するいらだちはあまりにも大きく、この世界での信用、協力関係、情報開示のあり方が今後も同じまま続くとは考えにくい。

 Kaminsky氏の情報開示差し止めに対して反対を唱え、これはBlack Hat会議のための過剰宣伝でしかないと主張する研究者はかなり多い。Kaminsky氏は自身がメディアハッカーだったが、パッチ公表前の会見や、Black Hatを宣伝するウェブキャストに登場したことはこれらの懸念を解消するのにほとんど役に立たなかったことを認めた。

 しかし、今回の流れの間、私はKaminsky氏が本当に、問題が起きる前にパッチを検証し適用するのに必要な時間をユーザーに与えようとしていたという感触を持っていた。Kaminsky氏はDNS関係の問題の深刻さについて信用を得るところまで来ていただけに、今回のような失敗が起こったのは残念なことだった。

 その多くが彼自身の問題だったとはいえ、結局のところ、彼はもっと相応しい評価を得ていたかも知れない。

 ここには、脆弱性に関する情報開示を取り巻く政治とドラマについて知ろうとする人にとっての教訓がある。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

「特集 : Zero Day」 バックナンバー

関連キーワード
セキュリティ

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと
  2. セキュリティ

    マンガで解説--企業に必要な「WAF」と「FW」の違い
  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト
  4. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク
  5. ビジネスアプリケーション

    調査と事例に学ぶ、Microsoft 365への集約が困難な理由と連携グループウェア選定のポイント
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

カテゴリランキング

  1. 「Windows 11 24H2」、最新パッチで複数の問題を修正

  2. 「Windows 11」、更新プログラムで一部ユーザーに不具合--MSが警告

  3. 日本で起きている人手不足の当然の理由と活況な転職市場

  4. パスワードに関する7つの重要ルール--米政府セキュリティ専門家のアドバイス

  5. 経産省のSBOM導入手引き第2版の内容と現実的な対応

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]