□■━━━━━━━━━━━━━━━━━━━━━━━━□■
XANADU 『 MS とセキュリティ』 2000/11/11 号
■□━━━━━━━━━━━━━━━━━━━━━━━━■□
XANADU 読者の皆さん、こんばんは。先週は訳のわからない内容で、申し訳あ
りませんでした。今週はいつもの XANADU に戻って、 MicroSoft の話でもした
いと思います。
◆ 今週の出来事
◇ m100 用クレードル入手
また Palm の話からで申し訳ありませんが、今日近所の量販電気店系コン
ピュータショップ(エイデンのコンプマート)にて、 m100 用のクレードル(パ
ソコンとデータをやり取りするケーブルと Palm の置き台)を入手しました。普
通 m100 を買うと、ケーブルは添付なのですが、ご存知の様に自宅と会社の二重
生活(べ、別に会社に愛人がいるという訳ではないですよ...)を暮らす私に
とっては会社用のケーブルが欲しくなったと言う訳です( PC と繋いでこその
palm なので)。
Palm もまだまだマイナーなら、その新機種のクレードルは相当マイナーで、
従来なら通信販売で買うしかありませんでした。試しに見積もりを取ってみまし
たが、定価 \3,480 が代引き手数料や送料で \5,000 円近くなります。
駄目で元々のつもりで、近所のショップの web ページに「入手できますか?」
とメールを出したら、「大丈夫ですよ!」とのお返事。早速今日店に行ったら、
何と在庫があるそうで...しかも値段は1割引の 3,180 円で、二度びっくり。
ひょっとしたらメールを出したのをチャンと見ていて、近所の店(店名はメー
ルに書いたので)にものを流してくれたのかなあ?そうだとしたら素晴らしい。
現物は結構重たくて、使いやすそうです。 m100 純正のフタはクレードルの後
ろに垂らしておかないと駄目ですが、別に見栄えは悪くないし、 3000 円なら安
い買い物です。フフフ。
◇旧石器発掘ねつ造
元々科学とは、後で誰かが検証実験が出来ることを前提としており、その点で
考古学は少々科学から逸脱している感はあります。撮影した新聞社も、いったい
どういう経緯でカメラを回していたのですかね?
「再調査せよ」という声も解りますが、「ここからこれが出た」という事象に
ついて後で調査して真贋が解るぐらいなら研究の必要もない訳で、色々と矛盾を
はらんでいる様に思えます。一番科学者らしい態度は、藤村氏がかかわった調査
の結果を全て廃棄する事でしょうが、そうするとここ数十年の発掘の相当の部分
を捨てることになるのでしょうか?まあとにかく容易に検証なんて出来そうにな
い事だけは、素人の私にも解ります。
◆ 特集 MS とセキュリティ
思えばちょうど1年前の 99.10.26 に、MS の web サイトを不正に書き換えた
ハッキングがありました。
http://www.zdnet.co.jp/news/9910/27/lovesick.html
そして今回の侵入に気がついたのも、 00.10.25 というのは偶然?いずれにし
ろ MS にとって災難は秋に起こる様で...
今日は MS のハッキングについて、考えてみたいと思います。
◇「ソースコードにアクセスされた」ということ
もちろん MS は「被害は少ない」と主張していますが、問題はそのような表面
的な事ではありません。ネットワークセキュリティの世界では、外部から敵意を
持って侵入してくるパターンは実際は少なく、主な問題は内部犯です。
内部の人間に厳しいセキュリティを求めると、実際の作業そのものに手間が
かかるためどうしても甘くなりがちであり、それが内部犯行を容易にする要素と
なっています。それは MS でも同じ事であり、今回の様に「外部からソース
コードにアクセスされた」という事態は、内部的なセキュリティレベルの低さを
露呈してると考えるべきでしょう。
しかも外部に接している web サーバではなく、最も開発部門の奥にあるはず
のソースコードにアクセスされたとなると、内部セキュリティレベルは容易に解
ります。
◇「オープンソースではない」ということ
ユーザにとっては中身の解らない Windows システムにとって、全ての安全は
製造元である MS が守る必要がある訳ですが、それがあまりにも脆弱だというこ
とが解ってしまった訳です。マスコミはあまり報道しませんが、これは相当やば
い事です。
例えばこんなシナリオはどうでしょうか?
MS 内部の人間で、会社に恨みがある人Aがいるとしましょう。Aは来月首に
なる事が決まっており、今月は残務整理をしています。一方的な解雇で納得が出
来ないAは、置き土産に何か悪戯をしようと考えました。「そうそう、もうじき
公開するあのプログラム、ちょっと改竄しておこう...」もちろん内部の人間で
あるAには、改竄は容易に可能です。そしてそのプログラムは公開後1年で非常
に広く普及したのですが、翌年のAの誕生日に「誕生日おめでとう!」とダイア
ログを出してから、 HDD のフォーマットを始めました。しかも世界レベルでで
す。
これはあくまでも推論ですが、この可能性を一笑に伏せる人がどれだけいるで
しょうか?特に有識者にとって、この危険性を無視することは出来ないと思いま
す。幸い Linux 勢力が台頭して来たので、世界中の NT,W2K がダウンしても致
命的な事にはならないと思いますが、 Y2K より余程危なっかしいのも事実です。
◇「コントロールできていない」ということ
通常外部侵入があった場合、しばらく泳がせて充分な証拠を掴み、犯人を捕ま
える必要があります。しかし今回は「泳がせる」余裕すらなかった様で、以下の
URL にはこうあります。
http://www.zdnet.co.jp/news/0011/02/berst_m2.html
『マスコミがこの事件を報道したとたんに Microsoft の説明は変わり始めた。
同社の説明によれば,このとき同社は既に 1 週間前から侵入を察知しており,
注意深く監視を続けていたのだという。では,同社は 27 日には知らなかったこ
とを 28 日に知ったのだろうか。さらに, Microsoft が主張するように同社
がハッカーを監視下に置いていたのであれば,同社が連邦捜査局( FBI )に緊
急に通報し,世界中に 3 万 9000 人いるフルタイム従業員の遠隔地からのアク
セスをすべて遮断したのはなぜだろう。』
これは明らかに「素人」の対応です。一体 MS のセキュリティ担当者は、どう
いうスキルを持っているのでしょうか?事実関係をホイホイ認めてしまう態度に
も、疑問を感じます(再犯を促しているようなもの...)。
◇「再度侵入された」ということ
11/3 には、去年のパターンと同じ様に web サイトがハッキングされました。
これだけ 10 月に問題が起こっているのに、なおハッキングされたということは、
MS の事態に対する考えの甘さがある様に思えます。しかもこの手口は MS が既
に危険を指摘していた IIS のセキュリティホールであり、当然修正パッチも提
供済みだったのです。
MS はパッチを作っても、自分のサイトには当てなかったのです。
◇ おわりに
これは別に MS だけの問題ではありません。コンピュータの世界では、コスト
無しに安全はありえないのです。そしてそのバランスを失った時、その被害は1
企業の問題で無くなる可能性があることを、良く憶えておく必要があると思いま
す。
私自身、 Linux に肩入れしながらも毎日 Windows を使っています。何だか健
康に良くないことを充分知りながら、禁煙できない人みたいな気分になってきま
した。この事件、実際にはすぐに昔話になってしまうのでしょうが、いつか「あ
あ、あそこで気が付いて反省していれば...」と思う日が来るような、そんな気
がしています。
◆ お知らせ
XANADU では随時、ご意見/ご感想/ご寄稿/リクエストを募集中です。
お気軽に mailto:saito_makoto@hi-ho.ne.jp してください。
□■━━━━━━━━━━━━━━━━━━━━━━━━□■
XANADU (廃刊ザナテックス)
発行元:会社勤めのしがない職業プログラマ:齋藤 誠
本メルマガ情報は http://www.hi-ho.ne.jp/saito_makoto/ へ
■□━━━━━━━━━━━━━━━━━━━━━━━━■□
戻る