【レポート】

Black Hat USA 2005 - CiscoのIOSに脆弱性、セキュリティ研究者が職を辞して公開

 

Black Hat Briefingsの初日、Michael Lynn氏というセキュリティ関連のリサーチャーが、雇い主の講演中止勧告に対して、職を辞してCiscoのIOSの脆弱性に関する講演を敢行。CiscoとBlack Hatを巻き込んだ大騒動に発展している。

初日の基調講演後に組まれていたMichael Lynn氏の講演タイトルは、「The Holly Grail: Cisco IOS Shellcode and Remote Execution」。ネットワーク・インフラのOSとして幅広く採用されているCiscoのIOSの概要を振り返ると共に、ヒープオーバーフローを利用して任意のコードが実行される脆弱性の存在を指摘する内容だった。同氏はInternet Security Systems(ISS)の研究者で、最近はルーティング・インフラのセキュリティを専門としていた。

Lynn氏によると、Black Hat Briefingsでの発表は、事前にISSとCiscoから承認を得ていたそうだ。それが直前の22日になってLynn氏とBlack Hatに対して、ISSとCiscoから発表中止の要請があり、従わない場合は法的な措置を取る可能性があると圧力をかけてきたという。

Black Hat Briefings開始前に配布された講演のスライドが印刷された冊子を見ると、Lynn氏の講演スライドが記されていた789~808ページまでがちぎられて抜けている。また、スライドのデータを収めたCD-ROMも、直前の内容変更で作り直しになったため、開始前に間に合わなかった。これもおそらくLynn氏の講演が原因だと思われる。このようなドタバタ振りだっただけに、Black HatもISSとCiscoの指示に従って中止にしたのだと、開始前の会場では思われていた。ところが、Lynn氏は直前にISSの職を辞して、発表を行ったのだ。

問題の脆弱性について、Ciscoは4月からパッチを配布しており、現在提供されているIOSでは対応済みである。しかしLynn氏は、IOSのソースコードが過去に何度か流出しているため悪用される可能性が高いと指摘、さらに脆弱性の存在を公開しないISSとCiscoの姿勢も危ぶんでいる。講演では、実際に問題の脆弱性を利用したデモを披露。具体的なステップは伏せていたが、ボストンでネットワークセキュリティのコンサルタントをしているという専門家は「内容はおおよそ想像できる」と話していた。

28日、2日目のBlack Hat Briefingsの会場では、CiscoとMichael Lynn氏の話題で持ちきりだった。講演の中でも、"Cisco"という言葉が出てきたら、すかさず観衆に向かって「ところで、昨日のMichael Lynnの講演は見た?」と脱線したことが2度ほどあった。

会場ではIOSの脆弱性よりも、内部告発とも言えそうなLynn氏の行動の方が注目されている。直前に辞めたとは言え、同氏の講演の内容はISSの研究者として得た情報で構成されている。Black Hatはというと、製本済みの資料からページを抜き取り、CD-ROMを作成し直したのだから、一度はISSとCiscoの要請に応じたのだろう。だが、Lynn氏が直前にISSを辞めたことで、Black Hatも直前に決定を再度翻したと思われる。

問題を難しくしているのは、IOSの脆弱性を悪用した被害が実際に発生していることが明らかになっていない点だ。またIOSがこれまで何度か盗難流出したということもLynn氏の主張に過ぎない。すでにパッチで対応が行われている現在、脆弱性を明らかにすることで、逆に被害が発生する可能性もある。

社内的にセキュリティの問題を訴えていた社員が、会社の対応を不満に思い、脆弱性を公開したという出来事は、これまでにいくつか例がある。訴訟問題にも発展している。このような問題は会社側が迅速に対応し、問題を公開する姿勢が評価される傾向にある。だが、IOSの場合は影響力が大きいだけに公開の判断に迷うところだ。一度、発表を承認していたISSとCiscoがどのようなタイミングで公開を考えていたかというのも今後の争点となるだろう。

DefConでは今年も、エレクトロニクス産業に関連した消費者の権利の問題を法的にサポートするEFFのセッションが用意されている。話題性、その内容から考えると、Lynn氏の問題が取り上げられることになるだろう。実現したら改めて専門家のコメント、参加者の間の議論の様子を紹介しようと思う。

関連記事

Black Hat USA 2005 - 暑いラスベガスでBlack Hat Briefings、守るだけがセキュリティじゃない
[2005/7/29]
米Motorola、米Cisco Systemsとの提携で携帯/IP電話ソリューションを強化
[2005/7/28]
米Ciscoが「Application-Oriented Network」を発表、新分野へ進出
[2005/6/22]
BlackHat Japan 2004 - 効率のよい脆弱性への対処と難読化したプログラムの解読方法
[2004/10/19]
BlackHat Japan 2004 - ノイズにスパム、データの隠し場所は数多い
[2004/10/19]
BlackHat Japan 2004 - OSの共通点をつくワーム、その防御法とは
[2004/10/19]
Black Hat USA 2004 - 木は森に隠せ!? 怪しいメールはスパムの中に
[2004/8/2]
Black Hat USA 2004 - 少数のハッカーが一国に対抗、サイバー戦争の脅威
[2004/8/2]
Black Hat USA 2004 - 英議会では議員のプライバシーが……無線講演
[2004/8/2]
Black Hat USA 2004 - セキュリティ専門家真っ青のツールが続々登場
[2004/7/31]
Black Hat USA 2004 - 脆弱性の法則、RF-ID万引きなど
[2004/7/31]
DefCon 12 - レベルアップするも旧スタイル派からは不満の声も
[2004/8/5]
Defcon 12 - ハッカーの心得となりつつあるGoogle Hacking
[2004/8/5]
Defcon 12 - 9/11で政府機関とハッカーの関係は好転、積極採用へ
[2004/8/5]
DefCon 12 - 攻撃者はいかにして自分のプライバシーを守るのか
[2004/8/5]
【レポート】DefCon 11レポート - ハッキング天国!? ホットスポットが"ホット"なもう1つの理由
[2003/8/5]
【レポート】DefCon 11レポート - 無防備状態の無線LANに渇!、第3回WorldWide WarDrive結果発表
[2003/8/4]
【レポート】DefCon 11レポート - ハッキングツールとしても通用するGoogleの検索力
[2003/8/7]


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

ヤマハ、MusicCast対応のWi-Fi・Bluetooth内蔵CDレシーバー「CRX-N470」
[19:33 7/28] スマホとデジタル家電
[オダギリジョー]妻・香椎由宇の妊娠祝福に「ありがとうございます」
[19:20 7/28] エンタメ
後藤真希・高橋愛・飯田圭織らモー娘。OG、安倍なつみ第1子出産を祝福
[19:12 7/28] エンタメ
「フィラエにさよならを」 - 彗星探査機「ロゼッタ」、着陸機と永遠の別れ
[19:10 7/28] テクノロジー
TVアニメ『TRICKSTER』、新キービジュアル公開! 明智小五郎役は小野大輔
[19:08 7/28] ホビー

求人情報