Return-Path: kjm@ideon.st.ryukoku.ac.jp Received: from rins.st.ryukoku.ac.jp (rins.st.ryukoku.ac.jp [133.83.4.1]) by ideon.st.ryukoku.ac.jp (8.9.3/3.7W/kjm-19990628) with ESMTP id QAA47749 for ; Mon, 5 Jul 1999 16:39:19 +0900 (JST) Received: from ideon.st.ryukoku.ac.jp (ideon.st.ryukoku.ac.jp [133.83.36.5]) by rins.st.ryukoku.ac.jp (8.8.8+2.7Wbeta7/3.6W/RINS-1.9.5.2-NOSPAM) with ESMTP id QAA18576 for ; Mon, 5 Jul 1999 16:39:18 +0900 (JST) Received: from ideon.st.ryukoku.ac.jp (kjm@localhost [127.0.0.1]) by ideon.st.ryukoku.ac.jp (8.9.3/3.7W/kjm-19990628) with ESMTP id QAA47744; Mon, 5 Jul 1999 16:39:16 +0900 (JST) From: kjm@rins.ryukoku.ac.jp (KOJIMA Hajime / =?ISO-2022-JP?B?GyRCPi5FZ0glGyhC?=) To: wnt@nikkeibp.co.jp cc: kjm@rins.ryukoku.ac.jp Subject: =?ISO-2022-JP?B?GyRCNS47bxsoQg==?= 1999.07 p.31 =?ISO-2022-JP?B?GyRCJE41LTt2IVYbKEJJSVM=?= 4.0 =?ISO-2022-JP?B?GyRCJEtDV0w/RSokSiU7JS0lZSVqJUYlIyEmJVshPCVrGyhC?= =?ISO-2022-JP?B?GyRCJCxIPUxAGyhCIBskQiVWJWklJiU2JCskaSU1ITwbKEI=?= =?ISO-2022-JP?B?GyRCJVAhPCRyQWA6biQ1JGwkazRtODEkYiFXJEskRCQkGyhC?= =?ISO-2022-JP?B?GyRCJEYbKEI=?= Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Date: Mon, 05 Jul 1999 16:39:16 +0900 Message-ID: <47740.931160356@ideon.st.ryukoku.ac.jp> Sender: kjm@ideon.st.ryukoku.ac.jp はじめまして。龍谷大学理工学部の小島と申します。龍谷大学理工学部ネッ トワークの管理をしています。 今回 mail させて頂きましたのは、貴誌 1999.07 p.31 の記事「IIS 4.0 に 致命的なセキュリティ・ホールが判明 ブラウザからサーバーを操作される 危険も」についてです。 と言っても、記事そのものに関する事ではありません。記事のその後、特に マイクロソフト日本法人の動きについて、です。 事件の経緯 ---------- eEye から security hole の存在が公表された直後、Microsoft 本社は Security Advisor ページにおいて不具合の存在と緊急対処方を公開しまし た。これは、基本的には eEye の公表内容を追認するものでした。さらに Microsoft は、2 日後に patch が完成すると情報を即座に update しまし た。この patch には、eEye が把握していなかった弱点に対する fix すら 含まれていました。 上記は 2 度に渡る改定を経た物となっていますが、Microsoft 本社が当初 公開した内容は、セキュリティ情報 mailing list "BUGTRAQ" のアーカイブ から得られます。 Microsoft 本社はセキュリティ情報を登録ユーザに対して mail で配布して おり、上記はこの mail が BUGTRAQ に転載されたものです。配布登録は無 料で行えるようになっています。これによって、Microsoft 本社は弱点の存 在を広く広報する事ができていると言えます。私自身、official fix に関 する第一報はこの mail 配布サービスによって得ました。 この弱点が公開されるまでの Microsoft 本社の動きについては問題も指摘 されているようですが、上記のように、公開されて以降の Microsoft 本社 の動きは非常に素早いものであり、インターネットサーバ運用者の立場から 見ても安心できるものでした。 一方、マイクロソフト日本法人の動きはどうだったか? マイクロソフト日本法人は、6/16 (日本時間) に弱点が公表され、御社 BizIT や ZDNet NEWS 等のニュースサイトで大きく取り上げられ、シアトル 本社が緊急対応を行っているにもかかわらず、何の情報も発信しませんでし た。更には、シアトル本社において日本語 NT 4.0 x86 プラットホーム用の patch が開発され、6/21 に anonymous FTP において公開された時点ですら、 何の情報も発信しませんでした。 貴誌でも述べられているように、今回発見された弱点は非常に重大な欠陥で す。特に、弱点発見者の eEye において弱点のデモコードが (当時) 公開さ れていたという点では、これまでの弱点とは比べものにならないくらい重大 な事態です。eEye のコードはそのまま日本語版 NT/IIS に適用できるわけ ではありませんが、JWNTUG (日本 WindowsNT ユーザーズグループ) や (株) ラックでは同様の手法を用いた日本語 IIS に対する site 乗っ取りが可能 である事を確認しており、知識のある攻撃者に対しては無防備であると言わ ざるを得ません。 マイクロソフト日本法人からようやく情報が発信されたのは、eEye による 弱点公開から 2 週間が経過した 6/30 のことでした。マイクロソフト技術 情報 J048654 「[IIS] 適切ではない HTTP リクエストで IIS が停止する」 がそれです。 しかし、それでもまだ問題があります。マイクロソフト技術情報は IT 専門 家のためのものであり、一般のユーザや管理者が常時読むようなものではあ りません。マイクロソフト日本法人でも本社 Security Advisor ページに対 応するものを運営しており、ここに詳細かつわかりやすい情報を掲載すべき にもかかわらず、今に至るまで何も記述されていません。 Microsoft 本社は、最近発見された弱点については FAQ までついた非常に 内容の濃いものを公開しています。例として、日本の IIS 3, 4 運用者にとっ て非常に重要な事項を含む MS99-022 を示します。日経インターネットテク ノロジーのセキュリティページでも報道されている件です。当然のように、 本件に関する情報もマイクロソフト日本法人は公開していません。 また、Microsoft 本社は先日開催されていた The 1st Annual NTBugtraq Conference にも人員を派遣しています。NTBugtraq は WindowsNT に関する 不具合を話し合う、公開メーリングリストです。 積極的な情報公開をおし進め、ユーザやセキュリティ専門家とも対話を行い つつ WindowsNT/Windows2000 の改良を行う Microsoft 本社と、情報公開に 非常に消極的なマイクロソフト日本法人。日米の情報格差は開くばかりです。 お願い ------ 本件について、特にマイクロソフト日本法人への情報公開の推進を求めるよ うな記事を執筆していただけないでしょうか? 上記をベースとしていただ いてもかまいません。 セキュリティ対応 patch の開発にある程度の時間がかかるのは理解できま す。今回問題にしているのはそうではなく、patch 以前の問題、情報提供の 問題です。 現状のような情報提供状態においては、正直に申しまして、Internet サー バとして日本語版 WindowsNT を使う事は恐くてできません。セキュリティ を確保するには英語版 WindowsNT を使わざるを得ない状況です。これは、 日本語 NT による Internet サイトが多数存在する現状を考えると、非常に 問題のある事態です。 現在マイクロソフト日本法人に求められているのは、以下の事項です: * 本国 Microsoft と同等のセキュリティ情報の早期提供: 本国 Security Advisor ページと日本語 Security Advisor ページとの間の 情報格差/時差の解消 次のものがあれば、よりよいでしょう: * セキュリティ情報提供 mailing list の開設: 本国と同様のサービスの提供 セキュリティ対応 patch の早期開発ももちろん必要ですが、必要なのはそ れだけではありません。むしろ、情報公開こそがより強く求められていると 考えます。 以上、前向きにご検討くださるよう、よろしくお願い致します。 ---- 小島 肇 - KOJIMA Hajime - 龍谷大学 理工学部 電子情報学科 (RINS) [Office] kjm@rins.ryukoku.ac.jp, http://www.st.ryukoku.ac.jp/~kjm/ Phone: 077-543-7414 Fax: 077-543-0706