馴れ合い同然の「完全情報開示」がユーザを危険にさらす

「情報の完全開示(full disclosure)」がセキュリティの研究者によって明らかにされた脆弱性や弱点に関する情報の即時公開を意味したのは、もはや過去のことである。今日の完全開示はすべて、不具合を発見したセキュリティの研究者や組織と、そのコードに責任を追うベンダやプロジェクトとの間の何らかの協調 ― 共謀と言ってもいいかもしれない ― の結果である。最近Appleが提供したパッチは、プロプライエタリなソフトウェアに関する限り、この慣習が危険なものであることを物語っている。

先週(9月19日)、Appleは同社のプラットフォーム製品のほぼすべてに関わる無線コンポーネントに対する3種類のセキュリティパッチを公開した。

1つ目のパッチ(CVE-2006-3507)は、同社の無線ドライバAirportに存在する2つのスタックオーバーフローの脆弱性に対するものであり、2つ目(CVE-2006-3508)はAirportのヒープバッファオーバーフローを修正するもの、3つ目(CVE-2006-3509)はサードパーティの無線カード接続に対応するAirport内のコードの整数オーバーフローを解決するものである。National vulnerability Database(NVD)は、いずれもセキュリティの重要レベルは「高い」と評価している。

Appleはこれらのどの脆弱性についても既知の悪用方法は存在しないとしている。だがご承知の通り、Appleといえば、先月、無線の脆弱性リスクに顧客を晒していることを否定していた会社である。

Apple一社の失敗が業界全体を駄目にする

今回の問題は、悪用方法が未知だというAppleの主張が事実とは異なることにある。悪用方法はすでに発見されているばかりか、実証や説明まで行われており、一般に公表されているのだ。こうした悪用方法の存在は、実証のためのプレゼンテーションが予定された6月の時点で少なくとも表沙汰になっていた。結局、これらの悪用方法は、先月(8月)のBlack HatおよびDEFCONでのMaynorとEllchの両氏によるプレゼンテーションをめぐる「偽りの情報開示」に関する議論の核心となった。

今日では、ベンダやプロジェクトへの不具合の通知が内密に行われるのが普通であるため、ベンダやプロジェクトにはその情報の公開前に不具合を修正する時間が与えられることになる。不具合はできるだけ早く公表するものの、そのことが誰にとって好ましいのか(ベンダなのか顧客なのか)という議論を棚上げにしていた以前のやり方に比べて良いか悪いかは別にして、この新たなやり方は、ベンダと顧客の両者が合意に向けて最小限の誠意を示すだけでねらい通りに機能させることができる。理論上は、不具合の穴を塞ぐパッチが準備できるまで企業が情報を開示しなければ、ユーザには最適なレベルのセキュリティが提供されるわけだ。

しかし、セキュリティの研究者たちに不本意な「情報の規制」を強いる合法的な脅迫によって、ベンダが故意にこの「協調」プロセスの片側を沈黙させて ― これはAppleが9月3日にセキュリティ関連のメーリングリストに宛てた電子メールの中で実際に行ったことであり、Black Hatでのプレゼンテーションを聞いたWashington Post誌の記者Brian Krebs氏によってすぐさま報道された内容だとEllch氏は強調している ― 同時にその件に関して公然の嘘を発表すれば、この見せかけの協調プロセス全体が瓦礫のごとく崩壊するため、どのみちユーザが害を被ることになる。

Appleが脆弱性を否定したという前述の内容にリンクしたWashington Post誌の記事において、Krebs氏は「攻撃者がリモートでマシンを乗っ取ることができる無線セキュリティの欠陥が同社のコンピュータMacbookに存在するというSecureWorksの研究者らの主張に対し、本日Appleは強硬に反論する声明を発表した」と記している。NIST(米国標準技術局)のサイトは、今回の3種類のパッチがすべて「ローカルで悪用可能な」脆弱性であると主張している。Appleがローカルに対するリモートの定義につけ込んでその主張を悪用しているのかもしれない。

Zone-H.OrgのDonnie Werner氏によると、これら3つのパッチはローカルではなく、リモートの穴を塞ぐものだという。ローカルの弱点は通常、攻撃対象マシンのローカルユーザの権利を要求するが、今回のパッチは明らかにこれにはあたらない、と彼は説明している。

ありがたいことに、フリーおよびオープンソースのソフトウェアを使っていれば、今回のように長期間存続していた脆弱性だけでなく、顧客のセキュリティよりも自社の広告キャンペーンを重視するプロプライエタリな企業の悪意的な冷淡さの影響を被ることもほとんどない。オープンソースソフトウェアの透明性のもとでは、こうした否定的なゲームは起こり得ず、対応の遅れに対する言い逃れもできないのである。

NewsForge.com 原文