<前の日記(2005年04月23日) 次の日記(2005年04月27日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 161   昨日: 2794

2005年04月24日

自動アップデートは電子署名検証が必須なのだが……

トレンドマイクロ社の「ウイルスバスター」で、問題のある更新データを配布 してしまったために、大規模な障害が発生した。

奇しくも、前日に「『重要インフラでは自然災害や人為的ミスによるIT障害への対応も』――情報セキュリティ基本問題委員会が第2次提言を公表」という話題が出ていたところだった。

重要インフラのセキュリティとか、サイバーテロとか以前から言われつつも、 具体的にどういう事態だろうか? という疑問はあったと思われるが、 こういうところ(ウイルスバスターのようなもの)がけっこうアキレス腱になっ ているのだということが明るみになった。

今でこそ Windows Updateは全自動になっているが、4年前ごろは手動だった。 そのころから「もう自動で更新しちゃえばいいじゃないか」という声はあがっ ていたが、Microsoftはそれに慎重だったように記憶している。なにしろ、 万が一誤ったデータを配布してしまったら、それがもたらす損害は莫大となる。

また、全自動更新が当たり前になってしまうと、事実上、インターネットにつ ながったWindowsコンピュータは、Microsoft社の思い通りにどうとでも操るこ とができてしまうことになり、安全保障上の問題があるとする声もあった。

そしてその後どうなったかと振り返ってみれば、最初のうちは更新があるかど うかの自動チェックから始まって、ダウンロードまでの自動化、インストール までの自動化と、徐々に全自動化が進められてきた。Microsoft自身、アップ デートのシステム的な確かさを確認しつつ進めてきたのだろうし、ユーザ達も、 どうやら大丈夫らしいということで、自動更新を徐々に受け入れてきた。安全 保障上の懸念についても、Microsoftの積極的なアピールで、それなりに信頼 が得られるようになってきたのだろうと思われる。

ところが、これに伴って、他のソフトウェアベンダー達のあいだにも、同様の 自動更新機能を自社のソフトウェアに組み込むところが増えてきた。データの 更新だけならよいが、プログラム自身も自動更新するものが増えてきている。 たとえば国内のマイナーなソフトウェアでも、自動更新機能が最初から有効に なっているものもある。

はたして、そうしたベンダーは、安全保障上の懸念がないほどに信頼できる会 社なのだろうか? ソフトウェアを販売する段階では不正のないものを配給し ておき、普及したところで突如、悪意あるコードを配信するといった、狂った 行為が行われないとは限らない。

また、万が一、第三者の侵入などによって、悪意あるプログラムが自動更新サー バに不正にアップロードされてしまうと、大変なことが起きることになる。そ ういうことが絶対に起きないだけの十分な対策を、そうしたマイナーな会社た ちは、はたして実施しているのだろうか。

偽のアップデートコードが混入することを避けるには、コードに電子署名すれ ばよい。Windows Updateでは登場した当初から署名検証が行われていたと記憶 している。

SymantecのNorton Antivirusでは、古くから搭載されている「LiveUpdate」機 能において、バージョン1.6から、配布物に電子署名を付けて検証するように なった。1.4のバージョンにはそうした検証機能がないため、危険だという指 摘が、2001年10月にBUGTRAQに投稿されたことがあった。 指摘は、サーバに不正なコードがアップロードされる懸念だけでなく、クライ アントに近いところへの DNS spoofing攻撃によって、容易に偽コードにすり かえられてしまう危険性について述べている*1

このころようやく、自動アップデートには電子署名の検証が必須だとするコン センサスが業界で確立したように記憶している。

Apple Computerが MacOS Xに「SoftwareUpdate」機能を導入し、自動化を図ろ うとしたときも、同様の指摘を受けて、後に配布物に電子署名するようになっ たという経緯がある。

たしかに、署名なしでネット配布されているインストーラは沢山あるし、署名 されていても誰も検証せずに実行してしまっているという話がある。署名のな いプログラムのダウンロード実行を、セキュリティポリシーで禁止している組 織がどれだけあるだろうか。

だが、いつ誰がどこからダウンロードするかわからない実行形式ファイルを偽 にすりかえるのと違って、自動アップデートされるコードを偽に差し替える攻 撃は、攻撃の動機も強くなるうえ、もたらされる被害も甚大となる。なので、 少なくとも自動アップデートについては、配布するコードに電子署名しておく のが当然……というコンセンサスが確立しているのだろう。

というわけで、自動アップデート機能を提供していながら、配布コードに電子 署名をしていないというのは、それは脆弱性であると言ってよいかもしれない。

しかし、IPAにそれを届け出たとき、はたして脆弱性と認められるかどうかは、 かなり不確かだ。

少なくともウイルス対策ソフトはおそらく全部が、署名検証に対応しているは ずだろう。私は現在 Norton以外を使える状態にないので、今のところ確かめ ていないが、もし、署名検証をしていないものがあるとしたら、今回のような 大規模な障害が、外部から故意に引き起こされる可能性もある。そうなったら それはまさに「サイバーテロ」である。

*1 この指摘に対して、 Symantecはかなり見苦しい言い訳をしていた。

インターネット・インフラストラクチャ上のいくつかのポイントでのミスダイ レクションは可能ですが、不正ソフトウェアのダウンロードや不正な実行可能 ファイルの実行を試みた場合、Norton AntiVirusのAutoProtect機能により検 出され、シマンテックのスクリプト・ブロッキング技術により実行が阻止され ます。そして、それらのために必要なURLリストなども提供し、さらにシマン テック・セキュリティ・レスポンスの24時間体制の対応により、認識された不 正行動を検出して阻止するための定義ファイルを迅速に作成および提供するこ とができます。

LiveUpdate 1.4〜1.6の脆弱性に対する対策, Symantec Security Response, 2001年10月5日

検索

<前の日記(2005年04月23日) 次の日記(2005年04月27日)> 最新 編集

最近のタイトル

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|
<前の日記(2005年04月23日) 次の日記(2005年04月27日)> 最新 編集