編集部からのお知らせ
新着PDF:商用5G活用を考える
テレワーク関連記事一覧はこちら

オープンソースソフトウェアがサイバー攻撃に強い理由 - (page 2)

Jack Wallen (TechRepublic) 翻訳校正: 編集部

2015-12-15 06:15

 なぜこのような騒ぎが起きたのだろうか。最大の原因は、脊髄反射しやすいグローバルコミュニティーの性質にある。たとえば、インターネットを利用する者なら誰でもFacebookにアクセスし、「Linuxは実はヒトラーが開発したOSで、子供を誘拐したり仕事を奪ったりするコードが埋め込まれている」と全世界に向けて発信できる。すると、その発信を見た世界中のユーザーが一斉に情報を拡散させ、Linuxが危険なプラットフォームだという風評が巻き起こる。これは極端な例え話ではあるが、今回のLinux.Encoder.1を巡る騒ぎは、本質的にはこれと同じである。

 しかし、オープンソースはこの種の問題を克服できる素晴らしい力を秘めている。それはどのような力か。第一に、オープンソースではコミュニティーに参加している開発者達が簡単にコードを精査できるという強みがある。Linux.Encoder.1のニュースが公表された際には、世界中の開発者達が一斉にコードの精査を開始し、あっという間にランサムウェアの挙動や攻撃手法を解明してしまった。オープンソースの世界では、世界各国の開発者達が脆弱性の発見と報告に昼夜を問わず励んでいるため、発見された脆弱性は極めて短時間で修正されるのが常である。あまつさえ、単一の問題の解決に数百万人の開発者が集うことも希ではない。

 ちなみにLinux.Encoder.1については、コミュニティーによって徹底的にコードを解析された結果、開発者がAES(Advanced Encryption Standard)の実装で基本的なミスを犯していたことが暴かれた。Linux.Encoder.1は、「libc」の「rand()」関数にシステムの現在時刻をシードして暗号鍵を生成していたのだ。もちろん、暗号鍵の生成方法が判明したからといって、誰もが暗号化を解除できるわけではない。そこでセキュリティ企業のBitdefenderが助け船を出し、暗号の専門家でないユーザーでも暗号化を解除できるように、暗号鍵を特定するスクリプトの提供を開始した。もしもあなたがLinux上でMagnetoを運用していて、2015年2月9日からアップデートを怠った結果、不幸にもLinux.Encoder.1に感染してしまった場合は、当該スクリプトをダウンロードして実行するだけで、暗号鍵を特定して暗号化を解除できる。

 なお、当たり前すぎてあまり言及されないのだが、オープンソースが優れた問題解決能力を発揮できる理由がもう一つある。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]