マイクロソフト社のファイアウォールに脆弱性が確認される

　マイクロソフト社が初めて本格的に取り組んだセキュリティ製品Internet Security and Acceleration（ISA）に、“サービス使用不能”攻撃に利用される恐れのある脆弱性が発見された。同社は4月15日、同製品対応の修正プログラムを同社のウェブサイトに公開した。FSC In

国際

2001.4.26 Thu 12:00

　マイクロソフト社が初めて本格的に取り組んだセキュリティ製品Internet Security and Acceleration（ISA）に、“サービス使用不能”攻撃に利用される恐れのある脆弱性が発見された。同社は4月15日、同製品対応の修正プログラムを同社のウェブサイトに公開した。FSC Internet社（本社、トロント）がその脆弱性を指摘してから約2週間が経過していた。

　ISAの最初のバージョンは2月14日にリリースされ、企業のコンピュータ・ネットワークの保護を目的に設計されたファイアウォールとプロキシ・サービスである。FSC Internet社の最高経営責任者（CEO）Richard Reiner氏によると、同製品の機能の一つであるWeb公開機能が稼働している場合、外部ユーザは一連のコマンドをサーバに送ることができ、結果そのネットワークのウェブサイトにアクセスできなくなる。また、ネットワーク内部の人たちがネットサーフィンを行うことも阻むという。そして、Web公開機能を稼働させていなくても、ネットワーク内の誰かがサービス拒否を引き起こす一連のコマンドを送ることが可能と見られている。マイクロソフト社のセキュリティ・プログラム責任者Scott Culp氏は「同脆弱性を悪用して、攻撃者がネットワークにアクセスして情報を入手することはない」と述べた。

　Reiner氏は「私は比較的、容易にこの脆弱性を発見した。定期テストを行って僅か15分程で見つけたのだ。ファイアウォール製品で、こんなにも容易に脆弱性を見つけるのは、非常に希なことだ」と懸念を表している。一方、Culp氏は「同製品は綿密に精査され、そして何度もテストが繰り返された。当社自身のウェブサイトにも使用している。ソフトウェアにバグはつきものだし、セキュリティに影響を与えるバグもあると思う。誰かがたまたまバグを見つけたからと言って、そのコードの品質について言及するには及ばない」と語った。