秘密のハッキングツールへの懸念、高まる（＠stake社）

　セキュリティ専門家らは、Microsoft IIS ウェブサーバの脆弱性を悪用したハッキング・ツールが未だネット上に公開されていないことに懸念を示している。悪質なハッカーらがそのツールを秘密にしていると考えられているのだ。その理由について、セキュリティ専門家は「

国際

2001.7.5 Thu 12:00

　セキュリティ専門家らは、Microsoft IIS ウェブサーバの脆弱性を悪用したハッキング・ツールが未だネット上に公開されていないことに懸念を示している。悪質なハッカーらがそのツールを秘密にしていると考えられているのだ。その理由について、セキュリティ専門家は「ツールを公開してパッチが開発されるのを阻止するためだ。ハッカーらは、さらなるIIS攻撃を企んでいる」と推測している。

　IISの脆弱性は、これまでにもいくつか指摘されきた。今回、問題になっている脆弱性は先週（6月第3週）発見されたもので、IIS Internet Services API の全バージョンに影響を与える。攻撃者はその脆弱性を悪用してバッファのオーバーラン攻撃を仕掛け、システムの制御権を完全に掌握することができる。通常、セキュリティホールが発見された場合、その脆弱性を悪用したハッキングツールが48時間以内に出現し、システム管理者は早急にパッチをあてるよう勧告される。今回の脆弱性は、そのようなハッキングツールはまだ出ていない。その代わり、ハッカーがその類のプログラムを既に開発し秘密にしているとする噂が流れている。つまり、IISの約600万人のユーザが危険に晒されているのだ。

　セキュリティ会社の＠stake 社はこの件に関し「システム管理者はハッキングツールが公開されてないからと言って、安心してはいけない。悪質なハッカーはセキュリティへの意識が希薄になった時を狙って攻めてくる。ハッキングツールを秘密にしておくことで、システム管理者を油断させるつもりなのだ」と警告した。