新着記事

2005年12月04日

ソニーとF4Iはrootkitの問題を事前に分かっていた

Sony, First4 Knew About Rootkit Issue in Advanceより。

ソニーとF4Iはrootkitの問題を事前に分かっていた

2005/11/30(水)

2005/10/04、セキュリティベンダのF-SeucreはソニーBMGおよびFirst 4 Internetに対し、 当該企業のrootkitソフトウェアについて連絡を行った。 問題が公になるおよそ4週間も以前のことである。 これは、Steve Hamm氏によるBusiness Weekの記事からの情報だ。

以下は、要点となる記事の年表を抜粋したものである。

ともかく、ソニーBMGはFirst 4 Internetに調査を依頼した。 ソニーBMGおよびF-Secure両社は、F-Secureが問題の全貌をソニーにはっきりと指摘した期日を2005/10/17だと語っている。 当該セキュリティ企業による問題についての報告は、その日にFirst 4 InternetとソニーBMGに送られ、 その時点でXCPにrootkitが含まれていることが確認されたのだ。 同時に、ハッカー達がウィルスを隠蔽し、アンチウィルスソフトウェアから保護する手段として悪用される可能性があることも指摘されていた。 F-SecureはXCPを「重大なセキュリティリスク」であると言っている。 これは、F-SecureからBusinessWeek Onlineにeメールによって提供された情報だ。

ソニーBMGは、問題解決手法に関して2つのソフトウェア企業に調査を依頼したと言っている。 「仮にわが社の社員がF-Secureの発見した潜在的問題を知ろうものなら、 その瞬間にベンダへ連絡を取り、ためらう間もなく、F-Secureから得られるべき情報を伝え、 問題解決のためなされるべきことを看破することだろう」 とはソニーBMG相談役、Daniel Mandil氏の弁である。

事態は泥沼に落ち込んだ。次に起こった出来事については議論の余地がある。 2005/10/20、F-SecureはFirst 4 Internetの重役を招いて協議を行った。 その席でFirst 4 Internetにより現実的な問題はないとの主張がなされる。 その根拠は、XCPによって作り出される脆弱性がごくわずかな人間にのみ知られるものであるからということであった。 さらに、来年の早い時期に出荷予定の新型XCPソフトウェアによって、それ以降のCDはすべて問題が修正されたものになるだろうとも述べたのである。

一瞥しただけでは、あたかもセキュリティ脆弱性の発覚にまつわるありふれた話であるかのように見える。 ベンダが信頼できない製品を出荷し、研究者が個人的に欠陥を報告、ベンダが重い腰を上げ、 研究者が公的に欠陥を公表し、問題がただちに修正されるというお決まりの話だ。 この話では顧客の安全問題よりむしろ、 公共関係問題についての危うさをベンダが典型的に見誤った事実こそが目立つ。 「ごくわずかの人々しか脆弱性に気づかないのだから、実際のところ問題はない」と。

しかし、この記事をありきたりな脆弱性発覚問題として読んでしまうと、 この話の重要な部分を見落とすことになる。 通常、セキュリティ脆弱性は手違いから発生するものだ。 ベンダは、誰かが指摘してくれるまで脆弱性の存在に気づかないものである。 その点、この問題におけるrootkit的機能は手違いではなく、ベンダにより故意に設計採択されたものなのだ。

このことは、F-SecureがソニーおよびFirst 4 Internetにきっちり情報公開を行ったのか、 より正確に言えば、F-Secureはその時点で彼らが知らなかった情報を公開したのだろうかという疑問を投げかける。 彼らは例のrootkitについてすでに知っていたに違いあるまい。彼らが設計採択したものなのだから。 そして、いかなるきっかけがあろうとも、ユーザが自らのマシンにrootkitを組み込まれることをひどく嫌うであろうことくらい、 想像できたはずだろう。ましてや、他のマルウェアに露骨な隠れ家を与えてしまうような代物では。 思うに、F-Secureが公表した唯一の新情報は、そのプログラムをマルウェアとして取り扱う予定だということだったのではなかろうか。

同様に興味深いのは、他のマルウェア駆除ツールメーカーが、Mark Russinovichの一般公表に至るまで 問題に気づかなかったように見えるということだ。9月中旬から何ヶ月もこのマルウェアは市場に流通していて、 おそらくは幾百幾千のコンピュータにインストールされたであろう。 にもかかわらず、どのマルウェア駆除ベンダもそれを発見することができないでいたのだ。 (Business Weekの記事によれば、F-Secureはマルウェアそのものを発見したのではなく、 2005/09/30にニューヨークのコンピュータ技術者John Guarinoから、いくつもの顧客のコンピュータから発見されたとの報告を受け知ったとのことだが) 大手マルウェア駆除ベンダが長きにわたって見過ごしてきたとは、幸先の悪いことだ。

最後に、ソニーおよびFirst 4 Internetがrootkitの重大さを理解していたにも関わらず、 コピープロテクトはとにかくユーザのセキュリティに勝るものであるという信念のもと、 行為を行った可能性について考慮せねばなるまい。 おそらくFirst 4 Internetは次のような見解を持っていたのだろう。 rootkit機能を配備する設計採択でもなければ説明するのが困難で、 ソニーも多分それをわかってくれるだろうと。 エンターテインメント企業がコピーを阻止すべく、できることなら我々のコンピュータを再設計したがっていることはすでに分かっているが、 (実に無益なことだけれども) よもやコピープロテクトと引き替えにあっさりとユーザのセキュリティを犠牲にしようという大英断に踏み切るとは。

ソニーBMGは何を知っていて、それをいつ知ったのか? それはきっと訴訟手続きの中で明らかになって行くのだろう。

posted by 7mm MG at 16:20| Comment(0) | TrackBack(0) | 和訳 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。