悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録

2002年08月05日(月) 18時20分

HP、バグ情報を公開した企業に訴訟を起こすと警告WIRED

 7月末、パトリック・ミラー氏のもとに、米ヒューレット・パッカード(HP)社の技術者から電話が入った。HP社のウェブサーバーのセキュリティー・テスト・プログラムを探していると切り出されたとき、ミラー氏は、用心しなければと身構えた。

 「相手はわれわれを罠にかけようとしている、というのが第一印象だった」とミラー氏。同氏はシカゴのセキュリティー・コンサルティング企業、 http://www.neohapsis.com/ ネオハプシス社でアナリストとして働いている。

 通常ならば、HP社の技術者から『OpenSSL』の「攻撃用コード」がほしいと依頼されても、別段驚きはしない。しかし今回は事情が違う。HP社は7月29日(米国時間)、マサチューセッツの小さなセキュリティー企業、 http://www.snosoft.com/ セキュア・ネットワーク・オペレーションズ(SNOソフト)社に http://www.politechbot.com/docs/hp.dmca.threat.073002.html 文書を送り、訴訟を起こすと圧力をかけて、セキュリティー業界に衝撃を与えたのだ。

 HP社はこの文書で、SNOソフト社の研究者が7月18日に、ある攻撃用コードを公開したことは、1998年制定の『デジタル・ミレニアム著作権法』(DMCA)に抵触すると、これまでにない法的解釈による主張を行なった。このコードを実行すると、攻撃者はHP社の『トゥルー(Tru)64 UNIX』オペレーティング・システム(OS)が動作しているシステムを遠隔操作できる。HP社は文書の中で、SNOソフト社は今回の行動によって、拘禁刑と最高50万ドルの罰金支払いを命じられる可能性があると警告している。

 HP社がネオハプシス社に連絡してきたのはおそらく、OpenSSLに深刻なセキュリティーホールを発見したとして、7月30日にネオハプシス社の名前がコンピューター緊急事態対策チーム(CERT)の警告サイトに http://www.cert.org/advisories/CA-2002-23.html 掲載されたためだろう。OpenSSLは広く使用されているオープンソースのインターネット・アプリケーションだ。

 HP社の技術者はピーター・ボブコと名乗り、ヒューストンにある同社コンパック部門でウェブマスターの仕事をしていると説明した。ミラー氏は慎重な会話を交わした後に、ボブコ氏の依頼は筋が通っていると判断し、上司に報告した。

 ネオハプシス社のグレッグ・シプリー最高技術責任者(CTO)は「われわれは確かにOpenSSLのセキュリティーホールの攻撃方法を発見した。だが、その方法を公表するつもりなどないし、もちろんHP社に教えることもあり得ない」とコメントした。

 ワイアード・ニュースは1日にボブコ氏への電話インタビューを試みたが、同氏は応じなかった。HP社の広報担当者は、社内で調査を進めている最中なのでコメントはできないと述べた。

 SNOソフト社に訴訟の圧力をかけたことで、HP社は、セキュリティー専門家が「完全公開」と呼ぶ問題をめぐる厄介な http://online.securityfocus.com/news/238 論争に足を踏み入れてしまった。論争の焦点は、セキュリティーホールに関する情報の責任ある取り扱いとは何かということにある。

 SNOソフト社の共同創立者、エイドリエル・T・デソーテルズ氏にとって、ボブコ氏が奇妙なタイミングでネオハプシス社にOpenSSLの攻撃用コードを依頼したことは、顔面に平手打ちを食らったようなものだった。

 「今回の行動はわれわれに対する侮辱に等しい。われわれはHP社と手を組み、彼らのシステムの強化に全面的に協力したいと話を持ち掛けた。だがHP社はわれわれの申し出を断った。それが今度は、攻撃用コードを探しているというではないか」とデソーテル氏。

 同氏によると、SNOソフト社は数ヵ月前からHP社と、トゥルー64 UNIXのいくつかのセキュリティーホールについて直接協議しており、SNOソフト社の研究者がセキュリティー問題のメーリングリスト『バグトラック』にバグ情報を(HP社の承諾なしに) http://online.securityfocus.com/archive/1/283241 投稿したのは、その後のことだという。

 HP社はセキュリティー・コミュニティーからの抗議の声を受け、訴訟には踏み切らないものと見られる。SNOソフト社は1日にHP社と「建設的な」話し合いをもち、訴訟手続きを進めないよう提案したとデソーテル氏は述べた。

 HP社は、SNOソフト社との話し合いについてのコメントを拒否したが、SNOソフト社に送った文書に関して次のような声明を出した。「(文書は)HP社の方針と一致するものでも、方針を表わすものでもなかった。HP社は、顧客の利益およびシステムのセキュリティー向上につながる研究を抑制したり、そのような情報の流れを妨害したりするために、DMCAを利用することはないと断言する」

 今回HP社が行なったような、攻撃用コードを違法なものに仕立て上げようという企ては、コンピューター・セキュリティーに重大な悪影響を及ぼすおそれがあると、ネオハプシス社のシプリーCTOは言う。

 「企業が修正プログラムを開発する助けになる。これが攻撃用コードのよいところだ」とシプリーCTOは述べるとともに、ネオハプシス社がコンセプト実証プログラムを公表する相手は、セキュリティーホールに悩まされているメーカーのみで、一般に公開したり、研究者の個人的な依頼に応じたりすることはないと説明した。

 HP社では、セキュリティーホールの発見者から実証用コードの提供を受けることが常識となっているようだ。同社のソフトウェアに関するセキュリティーホール報告を受け付ける http://www.hp.com/country/us/eng/sftware_security.htm ページには、同社に攻撃方法を送信する際の指示事項が記されている。

 また場合によっては、『ゼロデイズ』という名で知られる新しい攻撃方法も1つの手段になる。この方法を使えば、セキュリティーホールの存在を認めないメーカーを、セキュリティー研究者が個人的に動かせる。

 「(トゥルー64 UNIXのセキュリティーホールを)発見したとHP社に知らせたとき、彼らはわれわれの言葉を真剣に受け止めなかった。そこで、コンセプト実証コードを作成したところ、彼らは態度を一変させた」とデソーテル氏は話す。同氏によると、SNOソフト社では通常、セキュリティーホールの情報をメーカーに報告してから8日間の対応期間を与えているという。HP社のケースでは、45日間の猶予を与えたとデソーテル氏は述べている。

 システム管理者やソフトウェア開発者も、自社のアプリケーションにセキュリティーホールを探す際、このようなプログラムに頼っている。SNOソフト社が公開した攻撃用コードのダウンロードサイトの http://deepmagic.securify.org.uk:8080/ 記録を見ると、20以上に及ぶ米国政府および軍関連のサイトが、コードをダウンロードしていることがわかる。

 ミラー氏によると、HP社による攻撃用コードの依頼に見られる皮肉な状況は、ボブコ氏本人も感じていたようだという。

 「彼もこちらの気持ちを察しており、SNOソフト社問題の扱いがHP社の印象を悪くしていると言っていた。しかし、HP社は大企業なので、皆が同じように感じているわけではないとも話していた」とミラー氏は語った。

[日本語版:米井香織/岩坂 彰]日本語版関連記事

http://www.hotwired.co.jp/news/news/business/story/20020802106.html バーンズ&ノーブル・コム、セキュリティーホール報告に知らん顔

http://www.hotwired.co.jp/news/news/technology/story/20020619302.html 『アパッチ』サーバーソフトのセキュリティー警告は勇み足?

http://www.hotwired.co.jp/news/news/technology/story/20020507303.html 『ホットメール』にクッキー盗難セキュリティーホール

http://www.hotwired.co.jp/news/news/technology/story/20020425301.html オンライン決済サービス『ペイパル』にセキュリティーホール

http://www.hotwired.co.jp/news/news/technology/story/20020418301.html IEに新たなセキュリティーホール:「戻る」ボタンで攻撃開始?


WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ


(WIRED)

http://headlines.yahoo.co.jp/hl?a=20020805-00000001-wir-sci

この記事に対するコメント/追加情報を見る

ニュース記事一覧に戻る

トップページ