マイクロソフトのセキュリティ情報 - 米国本社と日本法人の比較

Last modified: Fri Sep 24 11:05:02 1999 +0900 (JST)


 1999.06.16 (日本時間) に発覚した IIS 4 の .htr buffer overrun バグの件で情報公開の不十分さが露呈したマイクロソフト日本法人 (以下 MSKK)。 その後、日本語 Security Advisor ページは頻繁に更新されるようになり、電子メールによるセキュリティ警告サービスも開始された。 以前と比べてより情報が公開されるようになったことは明らかであり、これ自体はとてもすばらしい。 しかし、改めて全体を見回したとき、現状の MSKK のセキュリティ対応は利用者・管理者にとって十分満足できるものだろうか。

 セキュリティ対応を行う利用者・管理者にとって重要なのは次の 3 点である。

  1. 情報提供の速度: crack されてから情報が提供されたのでは意味がない。

  2. 提供情報の内容・密度: わかりにくい情報、不十分な情報ではリスクの評価・分析ができない。

  3. 修正プログラムの提供速度: crack されてから修正プログラムが提供されたのでは意味がない。

 上記観点から、米国本社 (以下 USMS) の対応と比較しながら MSKK のセキュリティ対応をみてみよう。


情報提供の速度

 この数か月において、日本語 Security Adviso ページの更新速度は明らかに向上した。 また電子メールによるセキュリティ警告サービスも開始された。 しかし、利用者・管理者が満足できる速度での情報提供が行われている、とは残念ながら言えない。 最も重要なサービスであるはずの電子メールによるセキュリティ警告サービスが、単に遅いだけでなく、告知基準があいまいなのだ。

 具体例を示そう。次の表は、電子メールによるセキュリティ警告サービスの、 USMS での発行日付と MSKK による日本語版発行日付の比較である。 MSKK によるサービス開始のアナウンスは 1999.08.19 に行われているので、 それ以降に USMS から公開された弱点について比較している。 日付は筆者の手元に配送されたメールの Date: ヘッダによる。 表記は日本時間で統一した。

USMS Advisory 番号 (MSKK Advisory 番号): 件名 USMS 発行日付 MSKK 発行日付 特記次項
MS99-030 (MSKK99-04):
ODBC ドライバに関する問題
1999.08.21 06:16 1999.08.25 04:40 MSKK99-08 で続報
MS99-031 (MSKK99-05):
Java VM の弱点
1999.08.26 08:36 1999.08.27 20:31 MSKK99-09 で続報
MS99-032 (MSKK99-07):
"Scriptlet.typlib/Eyedog" 脆弱性
1999.09.01 03:59 1999.09.02 17:59  
MS99-033 (MSKK99-11):
"Malformed Telnet Argument" の問題
1999.09.10 13:14 1999.09.14 16:34  
MS99-034:
"Fragmented IGMP Packet" Vulnerability
1999.09.04 12:21 未発行 web ページでは 1999/9/7 付で告知、BackOffice ニュース 9/15 号で告知
MS99-035:
"Set Cookie Header Caching" Vulnerability
1999.09.11 07:50 未発行 web ページでも未告知
MS99-036 (MSKK99-12):
Windows NT 4.0 が無人インストール ファイルを削除しない
1999.09.11 07:51 1999.09.14 16:54  
MS99-037 (MSKK99-10):
"ImportExportFavorites" の問題
1999.09.11 09:52 1999.09.13 21:40  

 驚くべきは、本稿執筆時点 (1999.09.20) において電子メール未発行のものが 2 件も存在することである。 もちろん、どちらの件も日本語版 OS 利用者に関係する。 さらに、内 1 件 (MS99-034) は日本語 Security Advisor ページや BackOffice ニュース (電子メールによる BackOffice 関連ニュースレター) では告知しているにもかかわらずセキュリティ警告サービスでは告知していないのだ。 MSKK では一体どのような基準で情報の告知・非告知を決定しているのだろうか。 単純ミスによる発行忘れだとしたら、あまりにもお粗末である。

 発行されたものについても、発行までに平均 2 日以上かかっており、問題であると言わざるを得ない。 なぜ問題なのか。マイクロソフトのセキュリティ問題の多くは、USMS での公表翌日には各種ニュースサイトで報道されることになる。つまり、 2 日以上かかる場合、問題の所在の第一報を MSKK からではなくニュースサイトから得ることになってしまう。 ニュースサイトの報道が正確・公平なものであればよいが、この期待は裏切られる場合もままあり、結果として利用者・管理者は混乱する情報に振りまわされることになる。

 利用者・管理者に正しい情報を提供するという観点からも、24 時間以内の情報提供が望まれるところだ。筆者は、USMS での情報提供を遅らせてでも日米の情報提供時差を縮めるべきだと考えている。それは不可能なことなのだろうか。


提供情報の内容・密度

 提供速度も重要だが、それ以上に重要なのはその内容である。 しかしここでも USMS と MSKK の差はかなりあるのが現状である。

 再び例を示そう。以下は MS99-037 "ImportExportFavorites" Vulnerability に関して、USMS および MSKK から送られたセキュリティ警告である。ぜひ読み比べていただきたい。

 まず気がつくのは、MSKK から送られたものには 「この問題に関する詳細は、 http://www.microsoft.com/security/bulletins/MS99-037faq.asp をご覧ください。なお、このページの情報は英語で説明されています」 とあることだ。日本語で伝えられるのは概要だけで、詳細が記述されている FAQ (Frequently Asked Questions: よくある質問と回答集) は英語のままというのは残念だ。 それでも MSKK 版は、USMS 版では「The vulnerability can be prevented by disabling Active Scripting. The FAQ contains details on how to do this.」となっている Workaround の部分を詳述するなど、かなり気を配っている。 この点は評価できる。

 MS99-037 はよくできた部類の例であった。しかし、いつもこれほどよいわけではない。次に示すのは MS99-032 "Scriptlet.typlib/Eyedog" Vulnerability である。

 USMS からのものは、問題の詳細、問題が発生するプログラムの種類/バージョン、修正プログラムの場所、関連情報まで詳述されている。これに対して MSKK からのものは、正直言ってなにがなんだかさっぱりわからない。 これでは、日本語版の恩恵は「なにか問題があるらしい」ことがぼんやりとわかるくらいで、何が起っているかを知るためには英語版 FAQ ページをがんばって読むしかない。

 さらに問題なのは、この文面からは英語版パッチ (修正プログラム) とは別に用意される予定の日本語版パッチを適用する必要があると読み取れてしまうことだ。 私自身もてっきり日本語版パッチを待つ必要があるのだと理解していたのだが、 この文章の日本語 Security Advisor ページ掲載版では「"Scriptlet.typlib/Eyedog" 脆弱性に対するパッチについて」が「"Scriptlet.typlib/Eyedog" 脆弱性に対するパッチが使用可能」に変わっており、ここに link されているページ http://www.microsoft.com/windows/ie_intl/ja/security/eyedog.htm で修正プログラムを入手することができるようになっている。 ところがなんと、このページで入手できる修正プログラムは英語版そのものなのだ。 結果としてこの「警告」は利用者・管理者を誤解させており、 役に立つどころか害をもたらしてさえいる。

 英語版パッチを日本語版 IE に適用してもよいのであれば、最初からそう書くか、 即座に続報を告知すべきであった。続報は現在に至るも告知されていない。 せっかくのサービスにもかかわらずこの結果は残念だ。

 以上では電子メールによる情報提供に的をしぼって述べたが、web ページでの情報提供にはさらに大きな差がある。前途した FAQ の他にも USMS の Security Advisor ページ には大量のセキュリティドキュメントが掲載されている。 この中には、最近大きな話題となった、WindowsNT に NSA 用の裏口があるという指摘への反論や、次期 OS Windows2000 に関するセキュリティドキュメントなど、ぜひとも日本語で読みたいものが多数存在する。 多数のドキュメントが翻訳されずに終っている現在、USMS と MSKK の情報隔差は開く一方である。


修正プログラムの提供速度

 いくら情報が素早く正しく適切な規模で提供されたとしても、 結局のところ修正プログラムの提供に時間がかかったのではどうしようもない。 一時的回避策を実施可能な種類の問題ばかりなら修正プログラムの提供を待つこともできるが、残念ながらそういう問題ばかりではないのが現実だ。

 USMS から情報提供される際は、原則として英語版修正プログラムも同時に公開されている。日本語版修正プログラムも含めて同時に公開されることもたまにあるが、たいていは英語版だけだ。日本語版ユーザは修正プログラムの登場を指をくわえて待つしかない。現状、英語版修正プログラムと日本語版修正プログラムとの間の時差は平均 1 か月程度であるように思う。これは長すぎる。

 この時差は何をもたらすか。「USMS からの情報を元に日本語 Windows への攻撃プログラムを作成し、日本語 Windows を攻撃する」ことが可能となってしまうのだ。 特に、USMS からの情報提供が行われた時点で、 BUGTRAQNTBUGTRAQ といったセキュリティ関連 Mailing List において弱点発見者が攻撃プログラムを公開してしまう場合が多々あるため、これは現実に起り得る事象である。 国境のないネットコマース時代において、この「日米時差攻撃」とでも呼べる事態の発生は許容できるものではない。

 日本語版修正プログラムは日本でつくられているわけではない。 修正プログラムを含め、日本語版を含めた全てのソフトは USMS で作成されている。 よって、日本語版修正プログラムの早期リリースに関して MSKK ができることは何もない……かというと、実はそうでもない。

 USMS で日本語版修正プログラムが作成されると、それはたいてい最初に ftp://ftp.microsoft.com/ において公開される。その後 日本語 Security Advisor ページなどで公開あるいは紹介されるのだが、ftp://ftp.microsoft.com/ での公開と 日本語 Security Advisor ページでの公開との間にはいつも数日の時差が生じるようなのだ。 筆者は ftp://ftp.microsoft.com/ の一部のコンテンツを毎晩自動でダウンロード (いわゆるミラー) しているため NT の最新パッチの存在に一早く気づくことができるのだが、これは一般に勧められる方法ではないし、本質的には ftp://ftp.microsoft.com/ と日本語 Security Advisor ページでの公開が同時になるのが本来の姿だろう。 MSKK には、できることはなんでも実行していただき、一日でも一時間でも早い日本語版修正プログラムの提供を実施してほしい。 もちろん USMS での早期修正が行われるのが最重要なので、こちらへの働きかけも行ってほしい。


おわりに

 本項では MSKK に対してかなりの苦言を提することになった。 MSKK にももちろん言い分があることと思う。 しかし、Windows 9x/NT がこれだけのシェアを占め、また多くのインターネットサイトが WindowsNT によって運用されている現在において、本項に記した程度の事項を実現することはもはや義務であると筆者は考える。 マイクロソフトはその大きさに見合った社会的責任を果していただきたい。 特に、電子メールによるセキュリティ警告サービス自体はたいへんすばらしいものなので、ぜひともより注力していただきたいと思う。

 ユーザやメディアも、是は是、非は非としてマイクロソフトにきちんと伝えることが必要だと思う。単なるバッシングではない、真摯な呼びかけが大きくなれば、マイクロソフトだって動くはずだ。


追記

1999.09.24:
MS99-035 の案内は MSKK99-13 として 1999.09.22 19:26 に発行されました。 MS99-034 については、1999.09.24 11:00 現在いまだに発行されてません。

私について