【Microsoftへの侵入事件に学ぶ】(執筆:office) | ScanNetSecurity
2021.01.22(金)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

【Microsoftへの侵入事件に学ぶ】(執筆:office)

 10月27日に米紙ウォール・ストリート・ジャーナルはMicrosoft本社のネットワークにクラッカーが侵入したことを報道した[1]。本記事の読者なら、もうこの事件については既に何度も聞かされているかも知れないが、改めて Microsoft侵入の報道からセキュリティについてケ

特集 特集
 10月27日に米紙ウォール・ストリート・ジャーナルはMicrosoft本社のネットワークにクラッカーが侵入したことを報道した[1]。本記事の読者なら、もうこの事件については既に何度も聞かされているかも知れないが、改めて
Microsoft侵入の報道からセキュリティについてケーススタディしてみようと思う。

[情報の再整理]

 ところが最初から困ることには、この事件について「何が起こったのか」を改めて説明することすら難しい。というのも侵入の様態についての多くの報道がなされてはいても、情報源のMicrosoft社からの事件説明が次々に変化する[2]ために、もはや事件像すらあやふやなのだ。そして、Microsoft社自身のころころと変わる発表以外にニュースソースは殆ど望めない。

 Microsoft社の公式発表外の情報は、この事件についてFBIが調査していることとだけである[3]。しかしFBIは事件についての調査内容については一切コメントしていない。もう一つかろうじて信じるに値する情報は、この事件に関連してMicrosoft社の従業員の遠隔地からのアクセスが一時的に遮断された[4]ということだ。これらからわかるのはMicrosoftが本当に侵入を受けたことと、Microsoft社がこのことに非常に慌てたということだけである。

 事件そのものについてはこのような希薄な情報しかないが、それでもその他の背景事情などとを合わせて2つのことがらを考えることができる。

[今後のMS製品の信頼性]

 Microsoftへの侵入者は開発中のMS製品のソースコードを盗み見たとも伝えられており、さらにソースコードを含む重要情報が改竄されたり、盗んだりされた可能性も指摘されている。Microsoft社は開発製品のソースコードを見られたことを否定はしていないが、それがどの製品で、どの程度盗まれたのかは明らかにしていない。では、我々はこの事態をどう受け止め今後のMS製品を用いたらよいのだろうか?

 私はMS製品の危険性については今までと変わらないと考えて、これまで同様の取り扱いでよいと結論する。この結論はMicrosoft社の希望と一致するかもしれないが、その意味する所は違う。

 これまでにMS製品には重大なセキュリティホールが次々と報告され、またプライバシーを脅かすような事例もいくつもあった。従ってMicrosoft社から新しい機能を持ったアプリケーション等が出荷された場合、何か重大な脆弱性が必ず発見されるものと覚悟して、また重大な秘密事項の漏れる万一の可能性も考慮して、これらの不具合を試験しつつ運用してきたはずである。これまでの不具合の出方などを考慮すると、今回の単一の事件によってその脅威が格段に増えるわけではないと私は考える。

 ただここで補足しておきたいのは、だからオープンソースのシステムの方が安心して使えると、短絡的に結論付けないほうがよいということだ。例えばGNU/Linuxのような実績あるシステムでも、新しい機能が付け加えられるたびに不具合は必ず発見されてきている。従って、オープンソースだからといって運用に際しての危険性に対する姿勢が、MS製品に対するものと変わるようなものではない。何故なら運用前にソースを完全に独自に検証する一般ユーザなどほとんどないはずで、運用しながら一方で不具合に注意を払うという使用方法以外通常とり得ないからだ。

 MS製品であろうと、それ以外のどこのシステムであろうと、危険性に対する姿勢は基本的に同じであるべきで、それは今回の事件によって変化するべきようなものではない。


office
academic office
http://www.office.ac/

[1] http://www.jiji.co.jp/cgi-bin/contents.cgi?content=2000102710971&genre=int[2] http://www.zdnet.co.jp/news/0011/02/berst_m.html
[3] http://japan.cnet.com/News/2000/Item/001028-5.html
[4] http://www.zdnet.co.jp/news/0011/02/berst_m2.html
[5] http://www.zdnet.co.jp/news/0010/30/mshack3.html
[6] http://www.zdnet.co.jp/news/0011/02/security_m.html
[7] http://www.hotwired.co.jp/news/news/technology/story/20001107301.html

(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/



《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

GROWIにXSSの脆弱性、最新版へのアップデートを呼びかけ 画像

GROWIにXSSの脆弱性、最新版へのアップデートを呼びかけ
無料メール配信システム acmailer にアクセス制限不備、権限昇格の脆弱性 画像

無料メール配信システム acmailer にアクセス制限不備、権限昇格の脆弱性
ウイルスバスタービジネスセキュリティシリーズ他に複数の脆弱性 画像

ウイルスバスタービジネスセキュリティシリーズ他に複数の脆弱性
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性 画像

Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み 画像

マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み
Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report) 画像

Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report)

インシデント・事故 記事一覧へ

イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」 画像

イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」
ワンオペで編集も承認も、奈良県Webサイト コロナ感染者情報誤掲載 画像

ワンオペで編集も承認も、奈良県Webサイト コロナ感染者情報誤掲載
「東京女子大学購買センター Web Shop」に不正アクセス、カード情報含む個人情報流出の可能性 画像

「東京女子大学購買センター Web Shop」に不正アクセス、カード情報含む個人情報流出の可能性
丸紅パワー&インフラシステムズのファイルサーバに不正アクセス、従業員情報などが流出の可能性 画像

丸紅パワー&インフラシステムズのファイルサーバに不正アクセス、従業員情報などが流出の可能性
「スポーティングシティマツヤマ.com」に不正アクセス、不審な投稿や個人情報へのアクセス確認 画像

「スポーティングシティマツヤマ.com」に不正アクセス、不審な投稿や個人情報へのアクセス確認
原子力規制委員会 メール誤送信、核燃料・核原料使用者のアドレス流出 画像

原子力規制委員会 メール誤送信、核燃料・核原料使用者のアドレス流出

調査・レポート・白書 記事一覧へ

売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業 画像

売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業
トレンドマイクロが考えるインシデント対応の基本、NISTとSANSのフレームワークをもとに 画像

トレンドマイクロが考えるインシデント対応の基本、NISTとSANSのフレームワークをもとに
2021年の 5 つのセキュリティ脅威、CrowdStrike 予測 画像

2021年の 5 つのセキュリティ脅威、CrowdStrike 予測
2020年度版「CrowdStrike グローバルセキュリティ意識調査」発表、ランサムウェアが世界的懸念に 画像

2020年度版「CrowdStrike グローバルセキュリティ意識調査」発表、ランサムウェアが世界的懸念に
CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima ) 画像

CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima )
2020年上場企業情報漏えい統計、原因最多はウイルス感染と不正アクセス 画像

2020年上場企業情報漏えい統計、原因最多はウイルス感染と不正アクセス

研修・セミナー・カンファレンス 記事一覧へ

我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法 画像

我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法
SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策 画像

SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策
CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信 画像

CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信
NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催 画像

NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催
セキュリティインシデントの当事者になったその後 画像

セキュリティインシデントの当事者になったその後
セキュリスト(SecuriST)認定脆弱性診断士のプレ開講、7名の受講者インタビュー公開 画像

セキュリスト(SecuriST)認定脆弱性診断士のプレ開講、7名の受講者インタビュー公開

製品・サービス・業界動向 記事一覧へ

国立情報学研究所、NII-SOCS の蓄積データを研究者向けに提供 画像

国立情報学研究所、NII-SOCS の蓄積データを研究者向けに提供
先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件 画像

先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件
SHIFT SECURITYがSOCサービス提供開始、1デバイス月額9万円から 画像

SHIFT SECURITYがSOCサービス提供開始、1デバイス月額9万円から
みずほ銀行が「eKYC」採用、なりすまし防止強化 画像

みずほ銀行が「eKYC」採用、なりすまし防止強化
LogStare に Active Directory 監査テンプレートを追加 画像

LogStare に Active Directory 監査テンプレートを追加
東京海上日動と連携、Microsoft Azureの障害やサイバー攻撃を補償 画像

東京海上日動と連携、Microsoft Azureの障害やサイバー攻撃を補償

おしらせ 記事一覧へ

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×