Other

マイクロソフト自身にも及んだ『SQLスラマー』ワームの被害

世界中のインターネット機能を麻痺させた『SQLスラマー』ワームだが、その被害は『SQLサーバー2000』を製造している米マイクロソフト社自身にも及んでいたことがわかった。重要な修正プログラムをインストールしていないサーバーが社内に多数あったためだという。これまで、公開された修正パッチを当てて社内のネットワークを守るのは、顧客自身の責任だと言い続けてきたマイクロソフト社自身がその作業を怠っていたという事実は、顧客に同じことを期待するのがいかに非現実的かを示しているという指摘もある。

AP通信 2003年04月30日

本記事は「ウェブセキュリティー」特集として再編集されたものです。初出は2003年1月29日です。

シアトル発――先週末、世界中のインターネット機能が『SQLスラマー』ワームによって麻痺したが、被害は『SQLサーバー2000』を製造している米マイクロソフト社自身にも及んだ。決定的に重要な修正プログラムをインストールしていないサーバーが社内に多数あったためだと、AP通信社が27日(米国時間)に入手したマイクロソフト社の社内メールは伝えている。

マイクロソフト社は、自社製品のアップデート作業を怠ったことで重大な問題が発生したわけではないと主張しているものの、一部のセキュリティー専門家は、今回の件でもっと大きな課題が浮き彫りになったと指摘している。同社が顧客のソフトウェアのセキュリティーを保護する方法に、非常に重大な欠陥があるというのだ。

SQLスラマー(『サファイア』と呼ばれることもある)による攻撃は、マイクロソフト社製の『SQLサーバー2000』データベース・ソフトウェアにすでに発見されていた欠陥を利用するものだ。SQLサーバー2000は世界中の企業、政府機関、大学その他で使われている。マイクロソフト社は修正プログラムを昨年7月に公開したが、(マイクロソフト社内の一部のコンピューターも含めて)多数のシステムがインストールを怠っていた。

今回のワームは次の標的となるコンピューターをランダムに、しかも大変な勢いでスキャンしていく。修正パッチを当てていないシステムが多数あったことから、インターネットの最大級のデータ・パイプラインの多くが満杯になり、世界中でウェブの閲覧や電子メールの送受信の速度が低下した。

マイクロソフト社では、社内のどの部門で何台のコンピューターが被害を受けたかについてはノーコメントだった。しかし、管理者たちが「行なうべき作業に手が回らなかった」ため、一部のサーバーが修正を受けないままになっていたことは認めている。

ユーザーに修正プログラムをダウンロード提供していたサーバーは対策済みで、ワームの被害を受けることはなかった。

マイクロソフト社のビル・ゲイツ会長兼最高ソフトウェア開発責任者(CSA)は先ごろ、同社の『信頼できるコンピューティング(日本語版記事)』構想の進展について発言したばかりだが、1週間もしないうちに不手際を露呈したことになる。1年前に発表された同構想は、セキュリティーを同社の最優先事項に据えるというもの。同社は数千人規模の開発者たちにセキュリティー研修を施し、機密性の高いコードを書くよう指導し、最高セキュリティー責任者を雇い入れている。

社内のコンピューターに修正パッチを当てていないものがあったからといって、ゲイツ会長による構想への取り組みに熱心さが不足しているわけではない、と同社は釈明している。

「私たちが、信頼できるコンピューティングという構想を立ち上げたのは、このような事態が起きるからだ。メモを発表したから仕事が完了したというわけではなく、私たちはこの作業を開始しているという意味なのだ。学習して、これからもっと優れたものにしてゆくということだ……私たちはこの目標に向かって熱心に取り組んでいる」

マイクロソフト社では以前にも、修正プログラムのインストールを怠ったために社内のコンピューターが攻撃を受けたことがあった。2000年に、同社は『I LOVE YOU』ワームの被害に遭っている。このワームは、マイクロソフト社製の『アウトルック』電子メールプログラムの既知の問題点を利用していた。

Most Popular

しかし、マイクロソフト社自身も含めて、多数のシステムが無防備な状態に置かれていたのも当然かもしれないと、米カウンターペイン・インターネット・セキュリティー社のブルース・シュナイアー最高技術責任者(CTO)は述べている。ネットワーク管理者は、マイクロソフト社や他のメーカーが1週間に何種類も配布する修正プログラムへの対応に追われているからだ。

「このペースについていくのはとても無理だ。フラストレーションがどんどんたまっていく」

また、マイクロソフト社は、セキュリティー修正プログラムの提供方法に問題があると率直に認めるべきだ、とシュナイアーCTOは付け加える。

「一方でマイクロソフト社は、顧客が自社のネットワークに修正パッチを当てなかったのは顧客自身の責任だ、とこれまでに言い続けてきた」と、シュナイアーCTOは語る。しかし、マイクロソフト社自身がその作業を怠っていたという事実は、「顧客にこれを期待するのがいかに非現実的かをはっきりと示している。被害者に責任を押し付けているようなものだ」という。

セキュリティー確保に修正プログラムの配布は効果的な手段となり得るという主張もあるが、マイクロソフト社はもっと作業を容易にする必要がある、とイーアイ・デジタル・セキュリティー社のマーク・メイフレット最高ハッキング責任者は述べている。

『SQLサーバー』対策用の修正プログラムは、とくにインストールが難しくて時間もかかり、エラーが起きやすいため、せっかくの対策が功を奏さないこともある、とシュナイアーCTOは述べた。

マイクロソフト社側は、インストール作業が単純でなく、改良の余地があると認めている。同社は、自社製ソフトウェアを最初からもっとセキュリティーのしっかりした製品にしたいと考えているが、100%のセキュリティーというものは達成困難だともコメントしている。

「人間が開発したソフトウェアが、全く問題のない完璧なものになる……そんな日は決して来ないだろう」とマイクロソフト社は言う。

[日本語版:湯田賢司/福岡洋一]

WIRED NEWS 原文(English)