現在地 HOME > 掲示板
> IT6 > 314.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT6 > 314.html
★阿修羅♪
|
|
| Tweet |
(回答先: Microsoft、一部顧客のみにセキュリティ情報を事前通知【IT_Media記事】漏れたらゼロデイ攻撃なんて簡単だろう 投稿者 クエスチョン 日時 2004 年 9 月 22 日 18:51:33)
>「攻撃者の役に立たない、概略的な情報であるというのなら、どうして皆に教えないのか」
【セキュリティーホールmemo】より
だよね。
MSの事前通知プログラムはセキュリティ問題を起こす?【IT_Media記事】MSはどこまでタコなんだ。
http://www.itmedia.co.jp/news/articles/0409/11/news014.html
2004/09/17 17:46 更新
一部顧客にフィックス情報を事前提供していることが明らかになったMS。事前に渡している情報は概略的なもので、攻撃者の役に立たないと同社は主張しているが……。
シアトル(Associated Press)
米Microsoftはひっそりと、大口顧客の一部に対し、より適切な計画が立てられるように、これからどんなセキュリティパッチがリリースされるかを知らせる事前通知を開始していた(9月11日の記事参照)。
この無料プログラムでは、一部顧客は、Microsoftが月例パッチをリリースする3営業日前に、提供されるセキュリティフィックスの数や、影響を受ける製品についての通知を受ける。また、脆弱性がもたらす脅威の深刻度についても、一般に公表される数日前に知ることができる。
Microsoftは昨秋にこのプログラムのテストを開始し、4月にこれを拡大した。このプログラムはあまり広く宣伝されておらず、営業担当者を通じて個別に顧客に提供されてきた。
同社のセキュリティビジネス・技術部門の製品管理ディレクター、アミー・キャロル氏は、このプログラムは非常に大規模な顧客向けのものだとしている。そのような顧客の一部から、もっと適切にパッチ導入の準備ができるように、事前通知サービスを提供してほしいと望む声があったという。だが同氏は、このプログラムは守秘契約を結べば誰でも利用できるとしている。
このプログラムには約3500の顧客が参加している。
Gartnerのインターネットセキュリティ担当副社長ジョン・ペスカトーレ氏は、このプログラムは特定の顧客にのみ提供されているため、本質的に排他的だと主張している。ほとんどの人はこのプログラムの存在すら知らないため、多くの人が不利な立場に置かれていると同氏は指摘する。
「これはセキュリティ関連の欠陥情報だ。一部の顧客にだけ選択的に提供し、ほかには提供しないというのは良くない」(同氏)
この情報は非常に概略的であるため、パッチのリリース前に攻撃を仕掛けるために利用するには不十分だろうとキャロル氏は語る。
だがペスカトーレ氏は、これがセキュリティ問題になりかねない状況もあると指摘する。例えば、Microsoftがフィックスを計画していることを知った攻撃者が、先制攻撃を仕掛ける可能性があると同氏。
このプログラムが守秘契約を伴うということは、攻撃者にとって何らかの潜在的な価値があるはずだと同氏は言う。
「攻撃者の役に立たない、概略的な情報であるというのなら、どうして皆に教えないのか」(同氏)
この事前通知プログラムは、毎月第2火曜日にリリースされるMicrosoftの月例パッチに関してのみ行われる。
キャロル氏は、Microsoftはたいてい、応急処置が必要な脅威に対応しているため、通常は毎月リリースするフィックスについて、顧客に3営業日前に通知する余裕はないとしている。
Microsoftはこの数年、広く普及しているWindowsや人気の高いOfficeなど、自社製品のセキュリティ改善に取り組んでいる。
関連記事
Microsoft、一部顧客のみにセキュリティ情報を事前通知
[Allison Linn,The Associated Press]
題名には必ず「阿修羅さんへ」と記述してください。