(Mark Joseph Edwards)

 米Microsoftが「Internet Explorer 6.0 for Windows Server 2003」向けにセキュリティ・パッチを公開したことは,もうご存知だろう(他にIE 6.0,5.5,5.01向けも公開)。この問題は未チェックのバッファがあることによるもので,任意のコードをユーザーのマシン上で実行できるようにする。これらの問題に対するパッチを,マシンに当てないわけにはいかないだろうと思う。

 このパッチは新しいOSであるWindows Server 2003用としては初めてのもので,リリース後,2カ月もしないうちに登場したことになる。同社が特定の問題に素早く対処したことが分かったのはよいが,どうやらOS用に,もう1つ別のパッチがすぐ必要になるらしい。

IPv6関連でDoS攻撃の可能性が
 セキュリティ関連のWebサイトSecurityFocusによると,特定の条件の下でWindowsシステムがDoS(Denial Of Service)攻撃を受ける弱点を,あるユーザーが報告した。もしWindows 2003/XP/2000のシステムでIPv6(IPバージョン6)を有効にしていると,攻撃者がInternet Control Message Protocol(ICMP)パケットをそのサーバーに大量に流して,標的のシステムをサービス不能に陥らせるかもしれないということだ(該当サイト)。

 Microsoftが問題に気付いていることは疑いないが,現在(2003年7月1日),同社は関連情報やパッチをリリースしていない。この問題は恐らく大したことではない。IPv6はまだIPv4ほど広く配置されてはいないから,大多数のシステムには影響を与えないだろう。にもかかわらず,われわれはMicrosoftがまもなくパッチを公表するだろうと考えている。IEで最近パッチされた問題とこのDoS問題は,複数バージョンの製品ファミリーに渡って使われているコードで見付かっている。これは以前の製品版の場合にもあったように,恐らくはWindows Server 2003にも及ぶだろうということを示している。

OISがセキュリティ・ホールの正しい報告方法を指南
 Organization for Internet Safety(OIS)は,セキュリティ上の問題点に対し,研究者とベンダーが協力できる体制を作ることを目指した団体である。このOISがリリースしたドラフト案は,新たに報告された弱点について話し合い,セキュリティ研究者とベンダーがセキュリティ・ホールにパッチを当てる努力を連携して行うための手順を説明している。

 2001年にセキュリティ関連のベンダーであるGuardent,Foundstone,BindView,@stakeとInternet Security Systems(ISS)がOISを創設したことを思い出してほしい。そのメンバーには今やSCOグループ,Network Associates,Oracle,Symantecも入っている。このグループはまず最初にIETF(Internet Engineering Task Force)にRFC(Request for Comments)としてドラフト案を提出した。しかし,IETFはそのフォーラムが,責任あるガイドラインを提案するには,適格でないと判断した。そこで同グループはそのドラフト「Security Vulnerability Reporting and Response Process」(セキュリティの弱点の報告と回答のプロセス)を自分たちで世に出した。一般の人もサイトから入手できる(該当サイト)。

 OISの報道発表文によれば,このドラフトは「研究者とベンダーがセキュリティ調査の速さと質を改善し,インターネット・ユーザーとインフラを守る助けとなる枠組みを確立するための,詳細で規範となるガイダンスを提供する」という。OISは一定の期間(2003年7月7日まで)の間,そのドラフトに対する一般の人のコメントを募集している。OISによると,可能なかぎりコメントには回答して,万人が読めるようにWebサイトにそのコメントを掲載する予定だ(もちろん,コメントした人の個人的な連絡先は除いて)。

 そのドラフト案は,パッチがリリースされたり,研究者がベンダーとのやりとりに疲れ果てたり,和解できず行き詰まりに陥ったりするまでは,公衆に自らの発見を明らかにしないよう示唆している。

OISとSecurityFocusにかかわるSymantecのジレンマ
 ここで気になるのは,Symantecの存在だ。SymantecはOISのメンバーであり,人気が高いBugTraqというメーリング・リストを含め,SecurityFocusが運営に参加している数々のメーリング・リストと,SecurityFocus自体を傘下に収めている。

 歴史的にはBugTraqは研究者に,弱点を悪用できる可能性があるデモンストレーション用のコードを含めて,彼らが必要と感じるどんな情報でも公開できる場所を提供してきた。SecurityFocusは研究者が様々な製品に潜在するセキュリティの問題を論じることができ,実際にそうしているVuln-Devというメーリング・リストも運営している。そのメーリング・リストでは,将来起こりうる特定のセキュリティの問題をテストするために使われるコードや,研究者の調査結果の詳細が掲載されることもある。これらは,OISのドラフトが示唆する道とは相反する。

 私は,明らかにSymantecが支援しているOISの提案が,それらのメーリング・リストと他の組織が運営しているセキュリティ関係のメーリング・リストの運用に影響を与えるかどうか,判断しかねている。しばらく待ってから確かめなければならないだろう。