文系ユーザ向け、コンピュータの脆弱性をめぐるハッカー倫理の歴史 (1)〜フルディスクロージャーの登場からシスコゲートまで

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

コンピュータシステムの脆弱性の発見とその発表方法の歴史は、この20年の間に大きく進化している。

PC がまだこれほど普及していなかった頃は、システムの脆弱性（vulnerabilities）が発見されること自体が非常に稀だった。

1988年、米国防総省の研究開発部門が中心となって米カーネギーメロン大学内に設立した CERT（Computer Emergency Response Team ：コンピュータ緊急対応チーム）がこれを変える。CERT は、発見された脆弱性をベンダーに通知し、ベンダーがパッチをリリースした後に仔細を一般公開する手法を取った。ベンダーがパッチをあてるまで脆弱性を隠す理由は俗に「 Security through obscurity （隠すことによる安全）」という原理で、脆弱性の仔細を一般公開しなければそれを悪用される可能性も無い、というものだ。

JPCERT Coordination Center
http://www.jpcert.or.jp/

しかしこのモデルだと、ベンダーがパッチをリリースするのに数年もかかったり、まったくリリースされなかったりした。そこで現れたのが、反対の「フルディスクロージャー（脆弱性情報を万人に提供する考え方）」だ。

フルディスクロージャーに貢献したのが、1993年に設立された、バグトラック（Bugtraq）メーリングリスト。 1996年にバグトラックのモデレーターとなったエリアス・レビーは、「 CERT が一般公開しなくても、既に脆弱性の仔細を知っている人は山のようにいる。全て秘密裏だとベンダーがパッチをリリースしない」という2つを理由にして、「脆弱性が発見されたらすぐにその仔細を公開するのが必要」と、フルディスクロージャーを推進した。また、彼が1996年に書いた「 Smashing The Stack For Fun and Profit 」というホワイトペーパーは、バッファー・オーバーフロー脆弱性を一躍有名にしている。

SecurityFocus BugTraq
http://www.securityfocus.com/archive/1

その後数年間は、脆弱性を発見したり、エクスプロイト・コードを書いた“ハッカー”が一躍有名になる時代だ。

1998年、cDc というハッカー・グループによる Back Orifice という、Windows の脆弱性を使った遠隔操作ツールの発表会は、ロックスターのコンサートのようだった。2001年には CodeRed というワームを発見したマーク・マイフレットがマスコミの寵児になっている…

【執筆：笠原利香】

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec