NSAは「心機一転」し、Windowsの脆弱性を武器として利用するのではなく、公開することを選択した
クリストファー・バッド著
本日はWindows 7のセキュリティアップデート公開最終日です。セキュリティライターのブライアン・クレブス氏の報道によると、米国国家安全保障局(NSA)が「心機一転」し、ベンダーへの脆弱性報告という従来通りの役割を担い、その功績を認められた日でもあります。具体的には、NSAがCVE-2020-0601を公開したと報じられています。これは、Windows 10およびWindows Server 2016の暗号化に影響を与える重大な脆弱性で、Microsoftが本日パッチをリリースする予定です。 最新情報: NSAは火曜日にこの脆弱性に関する公式アドバイザリを発表しました。
皮肉なことに、Windows 7 のセキュリティ更新の最終日である本日、この廃止予定のオペレーティング システムは、ここしばらくで最も重大な脆弱性の 1 つである可能性があるこの脆弱性の影響を受けていません。
これは技術的なメリットとして重大であり、偽のコード署名証明書の作成が可能になるという点が挙げられます。つまり、悪意のあるコードを正規の信頼できるコードであるかのように見せかけることができるのです。また、中間者攻撃(MitM攻撃)に利用されるリスクもあります。これは基本的に、暗号化されていると思われているネットワークトラフィックを攻撃者が「盗聴」できる攻撃です。
しかし、この脆弱性は、誰が発見し、どのように対処したかという点で、より重大です。NSAが発見し、ベンダーに報告し、「発見者」として公に認められた脆弱性は、今回が初めてです。これは非常に重要な意味を持ち、NSAがセキュリティ研究コミュニティとその慣行を「正す」という重要な行動をとったことを示しています。
マイクロソフト社長のブラッド・スミス氏は、「デジタルジュネーブ条約」の呼びかけの中で、「政府は脆弱性を備蓄したり、販売したり、悪用したりするのではなく、ベンダーに報告することを義務付けるべきだ」と述べた。
ウィンドウズの脆弱性を悪用したコンピューターワーム「スタックスネット」は、米国とイスラエルの諜報機関による仕業だと考えられていた。
NSAによる本日の行動、そしてこのアプローチを「新たな一歩」と呼ぶ同機関の選択は、米国政府が少なくともある程度は暗黙のうちにこのアプローチを支持していることを示唆しているように思われる。この傾向が続くかどうかは今後明らかになるだろうが、これは有望な始まりと言えるだろう。
クレブス氏は、組織が広範囲に迅速にパッチを適用できない場合、NSAがいわゆるトリアージアプローチを推奨している点を指摘しました。具体的には、TLS検証、ドメインコントローラー、DNSサーバー、VPNサーバーといった、重要かつより脆弱なシステムを優先することを提案しています。これらのシステムを最初にターゲットにすることで、組織はリスクと露出を最小限に抑えることができます。これらは確かな提言です。
また、マイクロソフトの情報筋によると、Windows Defender はこの脆弱性を広範囲にカバーしており、この脆弱性を攻撃する試みから保護するための保護策がすでにオペレーティング システムに導入されているということです。
