悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2005年08月17日(水) 14時44分

シスコ社のルーター制御OSに重大なバグ、専門家が暴露WIRED

本記事はウェブセキュリティ特集として再編集されたものです。本記事の初出は2005年7月28日です。

 ラスベガス発——悪用されれば、米国の重要な社会基盤が壊滅状態に追い込まれることになりかねないバグが、世界のコンピューター・ネットワークの大部分を動かしているオペレーティング・システム(OS)で見つかった。27日(米国時間)、あるコンピューター・セキュリティー研究者がこんな警告を発した。訴訟に発展する危険も覚悟の上での発表だった。

 この研究者、 http://www.iss.net/ 米インターネット・セキュリティー・システムズ(ISS)社の元研究アナリストのマイケル・リン氏は、コンピューター・セキュリティーの専門家を集めて毎年ラスベガスで開催される『 http://www.blackhat.com/html/bh-usa-05/bh-usa-05-index.html ブラック・ハット・ブリーフィングズ』会議での場で、この欠陥を明らかにした。同氏は、この発表の直前にISS社の職を辞している。

 問題のセキュリティーホールは、米シスコシステムズ社の『Cisco IOS』(シスコIOS)——ルーターを制御するネットワークインフラ構築のオペレーティング・システム——で見つかったもので、リン氏によると、シスコ社はすでに今年4月にパッチを公開し、欠陥バージョンのダウンロードはもうできなくなくっているそうだ。しかし、シスコ社は、OSの新バージョンのベータテストが完了し配布準備が整う来年まで、セキュリティーホールに関する情報は伏せておこうと考えていた。

 ルーターはネットワークの中で情報の行き先を割り当てる装置だ。シスコ社製品は、インターネットや多くの企業ネットワークのバックボーンを動かすルーターの大多数を占める。

 リン氏は、Cisco IOSの普及率の高さを『ウィンドウズXP』にたとえた。

 「だが、ウィンドウズXPにバグがあったとしても、それほど大きな問題ではない」とリン氏。「ルーターがきちんと動いて情報を伝えているので、(ネットワークを通じてデータを)送ることはできる。ルーターが駄目になった場合、どうやって(データを)送るというのか?」

 この問題を今発表しようと決めたのは、先頃、Cisco IOSのソースコードが2度目の盗難に遭うという事件があり、もはや黙ってはいられないと思ったためだと、リン氏は言う。

 リン氏は聴衆に向かって、「ハッキング以外に(ソースコードを)盗む理由が考えられるだろうか?」と問いかけ、同氏自身がバグを悪用した攻撃を考案するには6ヵ月を要したことを言い添えた。「私は、訴えられ葬り去られてしまうかもしれない。(だが)一番いけないのは、この事実を秘密にしておくことだ」

 リン氏は、アップデートされたファームウェアを持つルーターは当面安全だろうと言うものの、欠陥が1つあれば、他にも存在する可能性があると懸念する。将来、攻撃者が作ったワームがシスコ社製ルーターに人知れず入り込み、すべてをシャットダウンしてしまうというシナリオも想像できる。これこそまさに、政治家たちが何年も前から警告している電子版真珠湾攻撃の勃発だ。

 聴衆の1人で、航空宇宙関連企業の上級セキュリティー技術者を務めるアリ・レザ・アンハイ氏は、「そうした欠陥を探している人間は大勢いるし、すでにそれを見つけていて、国のインフラや企業を標的に攻撃を仕掛ける力を持った人間もたくさんいる」と感想を述べた。

 リン氏が解説した欠陥につけ込むと、もっと巧妙な攻撃を仕掛けることもできる。優れた能力を持つ攻撃者なら、これを利用してルーターを完全に自分の思い通りにコントロールできるようになるからだ。その気になれば、攻撃者は、ネットワークを行き来するトラフィックを探って、手を加えることができる。たとえば、電子メールを読んだり、メールが宛先に届くのを妨害したり、さらには送った本人の知らないところでメッセージの内容を変えることさえできる。

http://hotwired.goo.ne.jp/news/technology/story/20050729307.html (7/29に続く)

[日本語版:藤原聡美/小林理子]日本語版関連記事

http://hotwired.goo.ne.jp/news/business/story/20050616105.html 「個人情報の紛失や盗難」が蔓延——自分で身を守るには

http://hotwired.goo.ne.jp/news/technology/story/20050301301.html 有名人の携帯電話データ流出:事業者側の対策不備が原因か

http://hotwired.goo.ne.jp/news/technology/story/20040421301.html インターネットの標準的プロトコルに脆弱性

http://hotwired.goo.ne.jp/news/technology/story/20030718301.html ウィンドウズにまた深刻な欠陥:シスコの『IOS』にもセキュリティーホール


WIRED NEWSのメール購読申込みは http://hotwired.goo.ne.jp/reception/index.html こちらへ


(WIRED) - 8月17日14時44分更新

http://headlines.yahoo.co.jp/hl?a=20050817-00000001-wir-sci

最新のニュース記事一覧
お問い合わせ