修正公開前に詳細が明らかになった脆弱性に、Cisco が正式対応

この記事のURLhttp://japan.internet.com/webtech/20050802/11.html

ネットワーク機器大手の Cisco Systems (NASDAQ:CSCO) は7月29日、ネットワーク機器に搭載するシステムソフトウェア『Internetwork Operating System』(IOS) に存在する脆弱性の修正プログラムを公開した。同脆弱性は、修正プログラムの公開に先行して、Michael Lynn 氏がネットワークセキュリティ会議『Black Hat Conference』で発表していたものだ。

これまでの経緯を示すと、同氏はネットワークセキュリティ調査会社 Internet Security Systems, Inc. (ISS) のセキュリティ研究者だった。当初同氏がまだ ISS に籍を置いていた時点で、Cisco と ISS は該当の脆弱性について発表を行なわないことで合意していた。しかし同氏は ISS を退職し、7月27日に脆弱性の発表に至った。

これを受け Cisco と ISS は7月27日、同氏と Black Hat Conference を主催する Black Hat に対し、Cisco の独自情報についてこれ以上触れないよう、終局差し止め命令を求めて裁判所に訴えた。翌7月28日、裁判所は Cisco と ISS の主張を認める判断を下している。

Cisco が公開したセキュリティ情報『IPv6 Crafted Packet Vulnerability』によると、IOS および IOS XR を搭載した全ての機器に同脆弱性が存在するという。

ただし、脆弱性の影響を受けるのは、IPv6 を有効に設定しているシステムだけだ。その場合、脆弱性を悪用することで該当製品がサービス不能化状態に陥る恐れがあるほか、ローカルネットワーク内から細工した IPv6 パケットを受け取ると、遠隔コード実行を許す可能性もあるという。

もちろん、今回 Cisco が公開した修正プログラムを適用すれば、攻撃を受ける可能性はない。

しかし今回の件に関して注目を集めたのは、Black Hat Conference の席上で該当の脆弱性について発表した Lynn 氏に対する、Cisco の対応姿勢だった。

Cisco が同氏の発表に横やりを入れた行為については、高圧的とみるインターネット業界関係者も多い。

Cisco の広報担当者 John Noh 氏は、Lynn 氏に対する差し止め命令を求めて法的手段を採ったことについて、自社の立場を弁護している。

「Cisco ならびに ISS は、セキュリティに関する脆弱性を公開する際の、われわれにとって通常の方針に準じようとしたに過ぎない。当社の顧客、そしてセキュリティ業界全体の利益を守るため、われわれは必要かつ合理的な措置を全て取ったまでだ」

Lynn 氏と Black Hat が差し止め命令の条件を遵守すれば、Cisco はこれ以上の法的措置を講じるつもりはない、と Noh 氏は述べている。