Hack IIS Contest
「オレのIISを倒せるものならば倒してみろ」
http://www.hackiis6.com/

16日からは静的HTMLのみからASP.NETへ変更され、攻撃する条件がさらに増える。腕に覚えのある方は挑戦するといいだろう。ただし、私はこの件に関して一切の責任はとることはない。

米軍が機密事項としていたPDF文書が情報漏洩されてしまった。
同文書の問題の箇所は電子的手段によって「黒く塗りつぶされていた」。しかし、どうやら部外者でも、その黒塗り部分をコピーアンドペーストすれば、そこに隠されていたテキストを取り出すことができてしまったようだ。

この文書の内容はイラク検問所でイタリア人、Nicola Calipariが殺害された事件に関する報告書だという。

同文書には、事件発生日である3月4日のバグダッドの検問所での出来事について、機密情報と非機密扱いの情報の両方が含まれていた。その後、米軍はインターネット上から同文書を削除したが、ここに記載された機密情報はすでにコピーされ、いくつかのウェブサイト上で公開されていた。

　米軍は、原文から特定の言葉やパラグラフを見えなくするために、電子的技法を用いようとしてミスを犯したと見られる（Associated Pressの記事によると、その報告書の検閲を担当した人物は定かではないが、その人物は、問題の箇所を削除せず、その部分を黒の長方形で覆って見えなくしていたようだ、とPDFフォーマットの開発元であるAdobe Systemsの広報担当者は語ったという）。

　今回米軍が用いた技法でも、同文書がオンライン上で閲覧／印刷されていればデータは完全に保護されていただろう。しかし、攻撃者が黒塗りされたテキストを選択してコピー・アンド・ペースト機能を使用すれば、どのワープロソフトでも同文書を完全な形で再現できてしまう。

　ドキュメントセキュリティを専門とするWorkshareのアジア太平洋地区担当ディレクターSamia Raufは、この種のミスはよくあることで、情報は隠されていたが、削除されていたわけではない、と語る。

また、この手の漏洩はPDF文書よりもMicrosoft WordのDoc形式の方が起こしやすいケースであるということだ。

CNETの記事で、マカフィーの調査報告によれば「パッチの適用されていないコンピュータは依然として多く存在し、ソフトウェアの脆弱性をターゲットとした攻撃の犠牲になっていることが、McAfeeの最新の調査結果から明らかになった。」と報じている。

ここで私がセキュリティベンダーに問いたいのは、逆の視点で見ることを忘れているのではないかと警告をしたい。ずばり、パッチをあてられない、その『ワケ』を。

たしかに最新のセキュリティパッチをあてて自己防衛することは正しい姿勢であり、奨励すべきことは間違いがないことである。だが、過去には最新バージョンのブラウザソフトにのみ感染するワームが存在したことがある。確率的には低いが、最新のパッチをあてることで別のセキュリティホールが発生する可能性だってあるだろう。

感のいい方ならもうわかっているかもしれないが、トレンドマイクロの今回の不祥事はWindowsXP SP2 及び　Windows Server 2003 SP1が対象となった。セキュリティベンダーが提供したワクチンが最新バージョンではテストされずにリリースされた結果、目もあてられない事態となった。

トレンドマイクロの社長の弁。「今回の件でただ単純にウイルスを駆除するだけではなく社の重要なインフラを全て守るために我々の商品が使われているんだということを改めて痛感した」

あ・た・り・ま・え

トレンドマイクロに他ならず、他セキュリティベンダも改めてこの点に主眼をおいて検討していただきたい。予算の都合や技術検証不足で最新パッチでの動作保証ができずじまいのシステム。Windows系のサーバOSの致命傷はUNIXとは違い、再起動を要求されることがある点だ。必然的にダウンタイムが生じる可能性がLinux系よりも高い。（最新カーネルのインストールを完了したらLinuxは再起動が必要であるが）
1秒のダウンでさえ、クリティカルな場合もあるだろう。（そのような環境ではWindowsの比率はまだ低いかもしれないが）

一度動き出したら止まれないシステム、パッチをあてる時間も割り出せずに稼動を続けるシステムでも、ガードをしてくれるミスのないセキュリティ対策ソフトを望む。

ＯＳ、またはソフトウェアにはバグは確実に存在する。だからこそ、どのような攻撃にも耐え得る盾となるセキュリティ対策ソフトを開発してほしい。「自分のところだけで解決できる」たくましさを身につけたソフトを提供して欲しい。