編集部からのお知らせ
新型コロナ禍が組み替えるシステム
テレワーク関連記事一覧はこちら

WindowsとSambaに深刻な脆弱性「Badlock」--パッチは4月公開

Zack Whittaker (ZDNet.com) 翻訳校正: 編集部

2016-03-28 11:29

 セキュリティ脆弱性に覚えやすい名前が付けられ、派手なロゴと専用ウェブサイトが作られることが慣習になっている。2013年に「Heartbleed」バグが独自の告知キャンペーンとともに登場して以来、セキュリティ脆弱性が派手に公表されるのが当たり前になった。

 しかし今回の最新の脆弱性は、現地時間4月12日に予定されているパッチ公開の前に悪用されるおそれがあるとして、セキュリティコミュニティーの怒りを買っている。

 「Badlock」として知られるこの脆弱性が最初に発表されたのは先週のことだが、詳細は少ししか明かされなかった。ほとんど情報が掲載されていないウェブサイトが何の前触れもなく登場した。同サイトでは、「『Windows』と『Samba』の重大なセキュリティバグが公表される」ことと、4月12日にパッチが公開されることが明かされている。このパッチ公開日は、Microsoftの定例セキュリティアップデートのリリース日(いわゆる「Patch Tuesday」)とも一致する。

 BadlockはWindows(バージョンは明示されていない)と4.2以降のSambaに影響を及ぼす。Sambaは、ネットワーク上のLinuxおよびUnixサーバとWindows PCを接続するオープンソースソフトウェアだ。CSOが発見した複数のツイート(削除済み)は、Badlockを悪用することで、同一ネットワーク上の全ユーザーが管理者アカウントを取得できるようになる可能性を示唆している。

 それ以外にBadlockの詳細はほとんど明らかになっていない。

 ドイツのゲッティンゲンに拠点を置く企業のSerNetがBadlockウェブサイトを提供している。このウェブサイトは、セキュリティコミュニティーからの特にTwitter上での広範な批判を受けて先週更新されるまで、ほとんど何の情報も掲載していなかった

 SerNetの従業員であるStefan Metzmacher氏がBadlockを発見した。米ZDNetは先週、Metzmacher氏にコメントとより詳しい情報を要請したが、返答は得られなかった。ある分析結果によると、Metzmacher氏の名前は多数のSambaソースコードファイル(最も古いものは2002年までさかのぼる)に記載されているという。

 Metzmacher氏の開発作業とBadlockの発見に密接なつながりがあることから、SerNetは本質的自分自身のコードの脆弱性を修正することで利益を得ようとしているのではないかとの批判の声も上がっている。

Metzmacher氏の開発作業とBadlockの発見に密接なつながりがあることから、SerNetは脆弱性を修正することで利益を得ようとしているのではないかとの批判の声もある
提供:Twitter

提供:Twitter

 SerNetはおそらく非常に良くSambaに精通している。Metzmacher氏もこのマーケティングのポイントを認識している可能性が高い。

 3月に「Badlock.org」ドメインを登録したJohannes Loxen氏は、後に削除されたツイートで、「深刻なバグは注目を集め、われわれのマーケティングとなる。もちろん、当社のオープンソース事業は副作用的なものだ」と述べていた。

 Metzmacher氏はこの問題について公式に発言していないが、Badlockのウェブサイトでは、この動きが「周知」するためのものであるとされ、ブランド化した脆弱性を利用しようとしているとの批判を退けている。

WindowsとSambaに深刻な脆弱性「Badlock」
提供:Badlock/screenshot

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    テレワークで起こりがちなトラブルの原因「資料が自宅から閲覧できない」にどう対処する?

  2. 経営

    CIOが成功するための最大の条件は「CEOとの連携」にあり?!516名のCIO調査を紐解く

  3. 経営

    【働き方改革事例】PCの調達・管理に関する不安を解決するサブスクリプションサービス

  4. クラウドコンピューティング

    【DX解説書】もっともDXに不向きな〇〇業界が取り組むべき改革とは?

  5. クラウドコンピューティング

    今すぐ「働き方改革」に着手するべき、2つの理由と改革への第一歩

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]