Windowsユーザーは、悪意のある攻撃者がPCに侵入するのを防ぐために、セキュリティパッチが公開されたらすぐにPCに適用するのが賢明だと知っています。しかし、パッチが公開される前に、米国政府がMicrosoftから提供された情報を利用してこれらの脆弱性を悪用できたとしたらどうなるでしょうか?
ブルームバーグは、複数のテクノロジー企業とアメリカの情報機関との密接な協力関係を暴露した最近の報告書で、まさにそのことを示唆している。同通信社は本日、マイクロソフトがバグ修正版を公開する前に、政府にソフトウェアの欠陥に関する情報を提供していると報じた。
マイクロソフトは、同社が提供するセキュリティ情報を政府がどう利用するかについては把握していないと報じられているが、匿名の米国当局者2人がブルームバーグに対し、マイクロソフトは、提供された脆弱性情報によって米国がテロリストや外国政府のコンピューターを悪用できることを認識しつつあると語った。
最近の報道では、米国政府が技術上の脆弱性に特別な関心を寄せていることが浮き彫りになっています。5月、ロイター通信は、米国政府がハッカーやコンピュータセキュリティ企業からセキュリティエクスプロイトや侵入ソフトウェアをオンラインで購入する最大の企業の一つであると報じました。このニュースは、ワシントン・ポスト紙が国防総省のサイバー軍を5倍以上に拡大する計画を報じた直後に報じられました。
2010年にイランの核開発計画を麻痺させた複雑なスタックスネットワームは米国で作成され、オバマ大統領の命令で配備されたと報じられている。
最高の防御
マイクロソフトの開示は、表向きは政府の防衛力強化を目的としているものの、複数の米国政府機関にリスク評価と軽減策の先行を提供するものとなる。中国やイランといった外国政府は、米国政府や企業のネットワークへのハッキングを頻繁に行っていると疑われており、今回の早期警告は、予期せぬ攻撃経路から米国を守る上で役立つだろう。
マイクロソフトはコメント要請にまだ回答していません。 追記:マイクロソフトのコメントは以下のとおりです。
マイクロソフトは、脆弱性に関する情報を開示する複数のプログラムを実施しており、その中には政府機関も参加しています。毎月自動セキュリティ更新プログラムを受け取る10億台のコンピューターに修正プログラムがリリースされる前に、マイクロソフトはエンジニアリングサイクルの完了後にプログラム参加者と連絡を取り、最新情報をお届けしています。タイミングは毎月若干異なりますが、数十億のお客様向けのセキュリティ更新プログラムのリリース直前に開示されます。
一例として、Microsoft Active Protections Program(MAPP)が挙げられます。これは、Microsoftの月例セキュリティ更新プログラムのリリース前に、セキュリティソフトウェアパートナーにMicrosoftの脆弱性情報を提供することで、パートナーが顧客保護を強化できるようにするものです。情報共有のもう一つの例としては、政府機関向けセキュリティ協力プログラム(SCP)があります。このプログラムにご参加いただくと、セキュリティ更新プログラムが公開される前に、セキュリティの脆弱性に関する重要な技術情報を提供できます。
アメリカの諜報機関を支援していると報じられている大手テクノロジー企業は、マイクロソフトだけではありません。インテル傘下のマカフィーは政府にセキュリティ脅威データを提供しており、ブルームバーグはAT&Tやベライゾンといった大手携帯電話事業者が、政府による自社ネットワークのセキュリティ上の欠陥の積極的な調査を許可していると報じています。
いたるところに窓
しかし、この報告書に名前が挙がっている他の企業よりも、マイクロソフトの早期の通報は、大半が自宅のパソコンでマイクロソフトのソフトウェアを実行している一般ユーザーに直接的な影響を及ぼす。
電子フロンティア財団のスタッフ技術者、ミカ・リー氏は、米国国家安全保障局がアメリカ国民のデータを収集しているという最近の報道を反映する懸念すべき問題を提起している。
「マイクロソフトが、何億人ものユーザーが利用するソフトウェアの脆弱性に関する情報を諜報機関に提供しているとすれば、悪用される可能性は極めて高い」とリー氏はPCWorldに語った。「ブルームバーグの報道では、この情報はテロリストや軍事上の敵対勢力のコンピュータへのアクセスに利用される可能性があるとされているが、実際には、脆弱なマイクロソフト製ソフトウェアを使用しているあらゆるユーザーのコンピュータへのアクセスに利用される可能性があるのだ。」
協調的な開示
重大な脆弱性に対するセキュリティ修正には、既に長い時間がかかることがあります。いわゆるホワイトハットセキュリティ研究者は、これまで知られていなかったセキュリティ問題(ゼロデイ脆弱性)を発見し、通常は影響を受けた企業に報告します。そして、研究者は企業が脆弱性を修正する時間を与えてから、発見した脆弱性を公表します。
このプロセスには数週間から数か月かかる場合もあり、ユーザーは知らないうちに、エクスプロイトを悪用するように設計されたマルウェアにさらされることになります。
さらに悪いことに、一部の開発者は重大な問題の修正に消極的だと非難されています。セキュリティ上の欠陥修正の遅れが、悪意のある攻撃者が積極的に悪用している重大なセキュリティ問題を公表する前に、Googleが7日間の待機期間を設けるよう最近呼びかけたきっかけとなっています。
Googleは最近のブログ投稿で、「7日間というのはかなり積極的な期限であり、一部のベンダーにとっては製品アップデートを行うには短すぎる可能性があります」と述べています。「しかし、可能な緩和策に関するアドバイスを公開するには十分な時間であるはずです。」
リー氏は、グーグルのこの動きは良いものだと考えている。
「このような期限がなければ、企業はセキュリティ問題の解決を何ヶ月、あるいは何年も先延ばしにしてしまう可能性がある」と彼は述べた。リー氏はまた、企業には定められた期限内にセキュリティ上の脆弱性を開示する法的義務がないことも指摘した。
マイクロソフトは、報告された脆弱性に対する修正プログラムの作成にどれくらいの時間がかかるかというタイムラインを公表していないが、できるだけ早く修正プログラムを開発すると述べている。
マイクロソフトは、第三者によって発見されたセキュリティ上の欠陥への対応方法を説明した脆弱性開示の協調ページにおいて、「セキュリティ研究コミュニティの皆様には、脆弱性を公表する前に修正する機会を与えていただくようお願いしています。これは、他社製品に脆弱性を発見した際に私たち自身が行うのと同様です」と述べています。
