本文へジャンプ

セキュリティソリューション Secureplaza

Hitachi

米国最新セキュリティ動向【連載第1回】

米国セキュリティ業界をにぎわしている話題をいくつかご紹介します。

ひとつ目は、11月が「カーネル・バグ月間」(MoKB : Month of Kernel Bug)であることです。 「カーネル・バグ月間」といっても政府や業界主導のオフィシャルなものではなく、一個人が趣味として公言したものです。しかし、「11月に毎日一つ、カーネル・バグのエクスプロイトを発表する」というこのプロジェクトは、そのバグの危険度とエクスプロイトの質でもって、セキュリティ業界の話題となっています。

この"一個人"とは、エイチ・ディー・ムーア(HD Moore)氏。 ムーア氏はMetasploit という、ぺネトレーションテスター、IDSシグネチャ開発者、エクスプロイトの研究者などに向けたリソース提供プロジェクト活動をしており、Metasploit Frameworkと呼ばれるエクスプロイトの開発やテスト用の、オープン・ソース・プラットフォームの作者として有名です。

毎日一つカーネル・バグのエクスプロイトを発表することにより、ムーア氏が成し遂げたいことは「一般公開も発見もされていない問題点がいかにカーネル・コードに存在しているかを追及するため」だそうです。 彼は、「カーネルを対象にしたのは、それがチャレンジだし、セキュリティ業界があまり真剣に取り組んでいない分野だからだ。(このプロジェクトによって)カーネル・セキュリティに人々が注目するようになり、またベンダーにとっても良いリソースになることを願っている」と答えています。

彼は、"fuzzing "や"stress testing "という方法でカーネルをテストし、脆弱性を発見しています。 この「カーネル・バグ月間」の第1弾としてのリリースされたのが、Apple AirPortの欠陥 です。パワーブックやiMacに搭載されていたOrinoco 製の無線LANのペースステーション「Airport」の子機に対するリモートからのメモリの破壊が可能となるという脆弱性です。ドライバーがスキャン・モードの時に内部カーネル構造を破壊することにより、任意のコードの実行が可能になるというものです。 Wi-Fiによるリモートからの攻撃が可能というシナリオを、シマンテック社は「脅威レベルはまだ低い」と、DeepSightの顧客向けのアラートでコメントしていますが、ガートナー社はそのリサーチ・ノート で「真剣に受け止めるべき警告である」とコメントしています。

2日目にリリースされたのが、リナックス2.6.xをDoSあるいはデータの破壊を可能にする脆弱性です。 6日目には、WindowsのGDI カーネルのローカル権限昇格可能の脆弱性も発表されています。 ワシントン・ポスト・コム によると、これは脆弱性を発見したアグレニス社のシーザー・チェルッド氏が、マイクロソフトに2004年に通報済みのものだそうです。

その他続々と、このプロジェクトはカーネルのエクスプロイトを公開しています。エクスプロイトの存在、リモートからの実行が可能なカーネルレベルの脆弱性と全体的な危険度が高いものも多く、カーネル・バグに注目を集めたことは確かだったようです。

もう一つの話題は、OWASP(Open Web Application Security Project:オワスプ) のトップ10のアップデートが間近、という話です。 今回はトップ10ではなくトップ20になるという噂もあり、期待が高まっています。

OWASPは2001年に「デベロッパーやセキュリティ・プロフェッショナルが、セキュアなウエブページを構築する方法や、製品のセキュリティ・テストを行う方法を学べる総合的なサイトがなかった」という理由 で、マーク・カーフィーにより設立された非利益団体です。 現在、北米を中心にヨーロッパ、インド、南アメリカ、オーストラリア、を含む、世界各国3,000人弱のボランティア・メンバーで構成されており、オープン・ソース・ソフトウエアのセキュリティの欠陥を発見することを目的としています。

OWASPは、アプリケーション・セキュリティを学ぶことができるオンライン・トレーニング(OWASP Web Goat Project)、ウエブ・アプリケーションとウエブ・サービス・セキュリティのあらゆるアスペクトをカバーするドキュメンテーション(OWASP Guide Project)など、ベータ版を含めると33ものプロジェクトを運営しています。

その中でも一番有名なのが、OWASP Top 10です。
毎年、その年で一番危険度が高いウエブ・アプリケーションの脆弱性を、1位から10位までランキング付けして発表するもので、世界各国のメンバーによって選びぬかれたトップ10は、大手企業(サン・マイクロシステムズ、スプリント、プライス・ウォーターハウス・クーパーズなど)、銀行、行政など、世界中の機関がウエブ・セキュリティの基本情報として使用しています。

また、米連邦取引委員会(Federal Trade Commission )が企業にこのリストを使うことを呼びかけているだけでなく、米防総省コンピュータ情報システム局(U.S. Defense Information Systems Agency)も、国防総省情報セキュリティ評価・認定プロセス(DITSCAP)に適応するのに必要なリストと位置づけています。

このリスト、2003年、2004年とアップデートがあったものの、2005年、2006年はアップデートがなかったために、今回のアップデートはより一層期待度が高いものとなっています。

OWASPは日本にも44のメンバーがおり、Top 10は日本語での解説書 も出版されているのでぜひとも参考にされてください。

[2006年12月7日発行]

5ページ中1ページ