セキュリティ脆弱性に覚えやすい名前が付けられ、派手なロゴと専用ウェブサイトが作られることが慣習になっている。2013年に「Heartbleed」バグが独自の告知キャンペーンとともに登場して以来、セキュリティ脆弱性が派手に公表されるのが当たり前になった。
しかし今回の最新の脆弱性は、現地時間4月12日に予定されているパッチ公開の前に悪用されるおそれがあるとして、セキュリティコミュニティーの怒りを買っている。
「Badlock」として知られるこの脆弱性が最初に発表されたのは先週のことだが、詳細は少ししか明かされなかった。ほとんど情報が掲載されていないウェブサイトが何の前触れもなく登場した。同サイトでは、「『Windows』と『Samba』の重大なセキュリティバグが公表される」ことと、4月12日にパッチが公開されることが明かされている。このパッチ公開日は、Microsoftの定例セキュリティアップデートのリリース日(いわゆる「Patch Tuesday」)とも一致する。
BadlockはWindows(バージョンは明示されていない)と4.2以降のSambaに影響を及ぼす。Sambaは、ネットワーク上のLinuxおよびUnixサーバとWindows PCを接続するオープンソースソフトウェアだ。CSOが発見した複数のツイート(削除済み)は、Badlockを悪用することで、同一ネットワーク上の全ユーザーが管理者アカウントを取得できるようになる可能性を示唆している。
それ以外にBadlockの詳細はほとんど明らかになっていない。
ドイツのゲッティンゲンに拠点を置く企業のSerNetがBadlockウェブサイトを提供している。このウェブサイトは、セキュリティコミュニティーからの特にTwitter上での広範な批判を受けて先週更新されるまで、ほとんど何の情報も掲載していなかった。
SerNetの従業員であるStefan Metzmacher氏がBadlockを発見した。米ZDNetは先週、Metzmacher氏にコメントとより詳しい情報を要請したが、返答は得られなかった。ある分析結果によると、Metzmacher氏の名前は多数のSambaソースコードファイル(最も古いものは2002年までさかのぼる)に記載されているという。
Metzmacher氏の開発作業とBadlockの発見に密接なつながりがあることから、SerNetは本質的に自分自身のコードの脆弱性を修正することで利益を得ようとしているのではないかとの批判の声も上がっている。
SerNetはおそらく非常に良くSambaに精通している。Metzmacher氏もこのマーケティングのポイントを認識している可能性が高い。
3月に「Badlock.org」ドメインを登録したJohannes Loxen氏は、後に削除されたツイートで、「深刻なバグは注目を集め、われわれのマーケティングとなる。もちろん、当社のオープンソース事業は副作用的なものだ」と述べていた。
Metzmacher氏はこの問題について公式に発言していないが、Badlockのウェブサイトでは、この動きが「周知」するためのものであるとされ、ブランド化した脆弱性を利用しようとしているとの批判を退けている。
提供:Badlock/screenshot
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
