高木浩光＠自宅の日記

高木浩光＠自宅の日記

目次はじめに 連絡先:blog@takagi-hiromitsu.jp

訪問者数本日: 2026 昨日: 1295

2005年04月24日

■ 自動アップデートは電子署名検証が必須なのだが……

トレンドマイクロ社の「ウイルスバスター」で、問題のある更新データを配布してしまったために、大規模な障害が発生した。

メディア・ＪＲなどＬＡＮ障害、ウイルス対策で不具合, セキュリティホールmemoによるまとめ

奇しくも、前日に「『重要インフラでは自然災害や人為的ミスによるIT障害への対応も』――情報セキュリティ基本問題委員会が第2次提言を公表」という話題が出ていたところだった。

重要インフラのセキュリティとか、サイバーテロとか以前から言われつつも、具体的にどういう事態だろうか？という疑問はあったと思われるが、こういうところ（ウイルスバスターのようなもの）がけっこうアキレス腱になっているのだということが明るみになった。

今でこそ Windows Updateは全自動になっているが、4年前ごろは手動だった。そのころから「もう自動で更新しちゃえばいいじゃないか」という声はあがっていたが、Microsoftはそれに慎重だったように記憶している。なにしろ、万が一誤ったデータを配布してしまったら、それがもたらす損害は莫大となる。

また、全自動更新が当たり前になってしまうと、事実上、インターネットにつながったWindowsコンピュータは、Microsoft社の思い通りにどうとでも操ることができてしまうことになり、安全保障上の問題があるとする声もあった。

そしてその後どうなったかと振り返ってみれば、最初のうちは更新があるかどうかの自動チェックから始まって、ダウンロードまでの自動化、インストールまでの自動化と、徐々に全自動化が進められてきた。Microsoft自身、アップデートのシステム的な確かさを確認しつつ進めてきたのだろうし、ユーザ達も、どうやら大丈夫らしいということで、自動更新を徐々に受け入れてきた。安全保障上の懸念についても、Microsoftの積極的なアピールで、それなりに信頼が得られるようになってきたのだろうと思われる。

ところが、これに伴って、他のソフトウェアベンダー達のあいだにも、同様の自動更新機能を自社のソフトウェアに組み込むところが増えてきた。データの更新だけならよいが、プログラム自身も自動更新するものが増えてきている。たとえば国内のマイナーなソフトウェアでも、自動更新機能が最初から有効になっているものもある。

はたして、そうしたベンダーは、安全保障上の懸念がないほどに信頼できる会社なのだろうか？ソフトウェアを販売する段階では不正のないものを配給しておき、普及したところで突如、悪意あるコードを配信するといった、狂った行為が行われないとは限らない。

また、万が一、第三者の侵入などによって、悪意あるプログラムが自動更新サーバに不正にアップロードされてしまうと、大変なことが起きることになる。そういうことが絶対に起きないだけの十分な対策を、そうしたマイナーな会社たちは、はたして実施しているのだろうか。

偽のアップデートコードが混入することを避けるには、コードに電子署名すればよい。Windows Updateでは登場した当初から署名検証が行われていたと記憶している。

SymantecのNorton Antivirusでは、古くから搭載されている「LiveUpdate」機能において、バージョン1.6から、配布物に電子署名を付けて検証するようになった。1.4のバージョンにはそうした検証機能がないため、危険だという指摘が、2001年10月にBUGTRAQに投稿されたことがあった。指摘は、サーバに不正なコードがアップロードされる懸念だけでなく、クライアントに近いところへの DNS spoofing攻撃によって、容易に偽コードにすりかえられてしまう危険性について述べている*1。

Symantec LiveUpdate attacks, BUGTRAQ, 2001年10月5日
シマンテックのツールにセキュリティーホール , セキュリティホールmemo, 2001年10月12日

このころようやく、自動アップデートには電子署名の検証が必須だとするコンセンサスが業界で確立したように記憶している。

Apple Computerが MacOS Xに「SoftwareUpdate」機能を導入し、自動化を図ろうとしたときも、同様の指摘を受けて、後に配布物に電子署名するようになったという経緯がある。

AppleCare Document: 75304: This document contains the Security Update 7-12-2002, セキュリティホールmemo, 2002年7月15日

たしかに、署名なしでネット配布されているインストーラは沢山あるし、署名されていても誰も検証せずに実行してしまっているという話がある。署名のないプログラムのダウンロード実行を、セキュリティポリシーで禁止している組織がどれだけあるだろうか。

だが、いつ誰がどこからダウンロードするかわからない実行形式ファイルを偽にすりかえるのと違って、自動アップデートされるコードを偽に差し替える攻撃は、攻撃の動機も強くなるうえ、もたらされる被害も甚大となる。なので、少なくとも自動アップデートについては、配布するコードに電子署名しておくのが当然……というコンセンサスが確立しているのだろう。

というわけで、自動アップデート機能を提供していながら、配布コードに電子署名をしていないというのは、それは脆弱性であると言ってよいかもしれない。

しかし、IPAにそれを届け出たとき、はたして脆弱性と認められるかどうかは、かなり不確かだ。

少なくともウイルス対策ソフトはおそらく全部が、署名検証に対応しているはずだろう。私は現在 Norton以外を使える状態にないので、今のところ確かめていないが、もし、署名検証をしていないものがあるとしたら、今回のような大規模な障害が、外部から故意に引き起こされる可能性もある。そうなったらそれはまさに「サイバーテロ」である。

*1 この指摘に対して、 Symantecはかなり見苦しい言い訳をしていた。

インターネット・インフラストラクチャ上のいくつかのポイントでのミスダイレクションは可能ですが、不正ソフトウェアのダウンロードや不正な実行可能ファイルの実行を試みた場合、Norton AntiVirusのAutoProtect機能により検出され、シマンテックのスクリプト・ブロッキング技術により実行が阻止されます。そして、それらのために必要なURLリストなども提供し、さらにシマンテック・セキュリティ・レスポンスの24時間体制の対応により、認識された不正行動を検出して阻止するための定義ファイルを迅速に作成および提供することができます。

LiveUpdate 1.4～1.6の脆弱性に対する対策, Symantec Security Response, 2001年10月5日

[TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20050424]

本日のリンク元

スラドarticle [05/04/30/0535201] ×2 : 1, 1 (2024-02-19)
スラド ×3 : 1, 1, 1 (2023-06-04)
スラッシュドットarticle [05/04/30/0535201] ×12 : 6, 2, 2, 1, 1 (2022-07-13)
https://www.google.co.jp ×14 (2015-09-26)
はてなブックマークコメント ×8 : 5, 1, 1, 1 (2012-10-31)
スラッシュドットcomments [252812] ×46 : 31, 5, 4, 3, 2, 1 (2008-07-12)
ココログ [kjunichi cocolog] ×5 (2008-03-19)
スラッシュドットarticle [05/04/26/2216241] ×252 : 66, 53, 46, 29, 25, 23, 2, 1, 1, 1, 1, 1, 1, 1, 1 (2007-10-21)
http://bakera.jp/ebi/topic/2329/comment ×10 (2007-09-20)
http://www4.diary.ne.jp/logdisp.cgi?user=462967&log=200504 ×7 (2007-02-17)
はてなダイアリー [rev-9] ×7 : 2, 1, 1, 1, 1, 1 (2006-10-17)
http://hkspage.livedoor.biz/archives/20030916.html ×10 (2006-02-06)
ココログ [stressfulangel cocolog] ×28 : 16, 6, 4, 1, 1 (2005-12-30)
http://hkspage.livedoor.biz/archives/cat_508561.html ×8 (2005-12-27)
http://app-sec.sec.flab.fujitsu.co.jp/kanaya/wiki/diary.html... ×13 (2005-12-26)
スラッシュドットcomments [253352] ×75 : 48, 9, 7, 2, 2, 1, 1, 1, 1, 1, 1, 1 (2005-07-22)
http://forums.belution.com/ja/vc/000/314/48.shtml ×63 (2005-07-11)
http://forums.belution.com/ja/vc/000/314/31s.shtml ×82 (2005-07-11)
http://www.rimarts.com/ml/becky-ml/22000/22072.html ×11 (2005-07-05)
http://reima.sub.jp/sb/sb.cgi?month=200504 ×4 (2005-06-26)
http://bakera.jp/hatomaru.aspx/htmlbbs/inthread/2989 ×4 (2005-05-27)
http://bakera.jp/hatomaru.aspx/htmlbbs/article/2995 ×6 (2005-05-27)
bakera.jp/hatomaru.aspx/ebi/ [topic/2329/comment] ×30 (2005-05-27)
２ちゃんねる掲示板 [software 1114579913] ×2 : 1, 1 (2005-05-07)
スラッシュドット ×2 : 1, 1 (2005-05-03)
セキュリティホールmemo ×1625 : 1417, 179, 23, 3, 1, 1, 1 (2005-04-30)
http://yaa.no-ip.org/~yaa/diary/ ×6 (2005-04-28)
livedoor Blog [kashimur] ×2 : 1, 1 (2005-04-26)
wslash.com ×16 : 12, 4 (2005-04-26)
http://www.alles.or.jp/~spiegel/200504.html ×25 (2005-04-26)
http://www4.diary.ne.jp/user/462967/ ×4 (2005-04-25)
http://yamagata.int21h.jp/d/ ×8 (2005-04-25)
http://yamagata.int21h.jp/d/?date=20050425 ×8 (2005-04-25)
http://reima.sub.jp/sb/ ×12 (2005-04-25)
http://cappuccino.jp/keisuken/logbook/ ×6 (2005-04-25)

検索

電子署名 ×99 / 自動アップデート ×70 / 署名検証 ×46 / キーワード不明 ×32 / 電子署名検証 ×25 / 署名の検証 ×10 / 署名検証 ×10 / windows update 検証 ×8 / ウィルスバスター2006 アップデート不具合 ×7 / 署名更新スクリプト symantec ×7 / Apple 署名検証 ×6 / 電子署名検証 ×6 / 高木署名 ×6 / 自動アップデート機能 ×6 / マシンガントーク ×6 / 自動アップデートプログラム ×5 / norton LiveUpdate ×5 / Windows 電子署名 ×5 / AntiVirus 署名更新スクリプト ×4 / 電子署名の検証 ×4 / ウインドウズアップデート署名 ×4 / 電子署名検証機能 ×4 / 不正WINDOWS ＳＰ２ ×4 / シマンテック ×4 / windows update 署名 ×4 / 電子署名自動更新 ×4 / 電子署名自動化 ×3 / スクリプトブロッキング ×3 / ウイルスバスター2006 アップデート ×3 / -hiromitsu.jp norton ×3 / vaio 自動アップデートプログラム ×3 / Windows SoftwareUpdate ×3 / ruby 1.8 アップデートダウンロード ×3 / VAIO自動アップデートプログラム ×3 / html 自動更新 ×3 / norton アップデート ×3 / windows update 自動化 ×3 / ウイルスバスター２００６アップデート不具合 ×3 / HTML 自動更新 ×3 / symantec liveupdate ×3 / ウイルスバスター2006アップデート ×3 / 自動署名 ×3 / ウィルスバスターアップデート ×3 / 自動更新 ×3 / 署名更新スクリプト ×3 / 電子署名署名検証 ×3 / 署名なしプログラムのダウンロード ×3 / 署名 ×2 / 自動アップデートとは ×2 / ウィルスバスター2006アップデート ×2 / 署名更新スクリプト norton ×2 / norton 2004 アップデート ×2 / ウィルスバスター2006 アップデート障害 ×2 / ウィルスバスター署名更新スクリプト ×2 / Norton JSP ×2 / VAIO 自動アップデートプログラム ×2 / 電子署名 ruby ×2 / windows アップデート検証 ×2 / ウイルスバスター２００６アップデート ×2 / Windows Update 自動化 ×2 / 検証ツール電子署名 ×2 / 自動アップデート署名 ×2 / norton 電子署名 ×2 / Symantec 署名更新スクリプトを作成 ×2 / MacOS 自動アップデート ×2 / ウイルスバスター dns 不正 ×2 / 高木浩光 Symantec ×2 / apple update 署名 ×2 / ウインドウズアップデートデジタル証明 ×2 / 電子日記 ×2 / apple software update 署名 ×2 / Symantec 署名更新 ×2 / auto-protect ウィルスバスター ×2 / html 電子署名 ×2 / ウィルスバスター2006 アップデート ×2 / VAIO UPDATE 自動アップデートプログラム ×2 / 署名更新 norton ×2 / symantec antivirus 自動アップデート ×2 / 自動アップデート ×2 / 電子日記 ×2 / ウイルスバスター2005 アップデート ×2 / Microsoft 署名 ×2 / 自動更新問題 ×2 / "ウイルスバスター2006" "アップデート" ×2 / Windows Update 署名 ×2 / 検証署名 ×2 / Norton AntiVirus 署名更新 ×2 / 高木浩光シマンテック ×2 / 自動アップデート XP ログ ×2 / Microsoft Update 検証 ×2 / Windows更新スクリプトウィルスバスター署名更新スクリプト ×2 / 自動更新日記 ×2 / アップデート自動更新 ×2 / windows update 電子署名 ×2 / プログラム自動アップデート ×2 / 署名更新 ×2 / 自動アップデート機能 ×2 / ウイルスバスターアップデートスクリプト ×2 / symantec liveupdate 自動更新 ×2 / アップデート自動 ×2 / 電子署名確認 ×2 / Windows アップデート検証 ×2 / 自動更新アップデート ×2 / 電子署名配布 ×2 / "電子署名" ×2 / 電子署名必須 ×2

2005年04月24日

■ 自動アップデートは電子署名検証が必須なのだが……

最近のタイトル