Microsoft、Vistaの署名認証回避ツールに対抗――ツールの署名キーを無効化――一部ユーザーは「警察気取り」と同社を批判

 Windows Vistaに搭載されたデジタル署名認証機能を回避する無料のツールが出回っているのを受け、米国Microsoftは先週、VeriSignと協力して、同ツールを使えなくする措置を取った。これに対し、一部のユーザーは「Microsoftはソフトウェア界の警察になろうとしている」と不快感を示している。

 Symantecの研究者であるオリー・ホワイトハウス氏によると、オーストラリアのリンチピンラボが7月20日にリリースした「Atsiv」ユーティリティは、署名のあるドライバを使用して、ほかの無署名ドライバをVistaカーネルにロードするものだという。Atsivを利用すれば、64ビット版Vistaに実装された機能、すなわちデジタル署名されたドライバのみをVistaカーネルにロードできるようにする機能を回避できる。

 このVistaの機能は、OSの中核であるカーネルを、マルウェアを隠蔽するrootkitクローキング技術などから守ることを目的としている。ホワイトハウス氏は、「Atsivはまさしくrootkitのように振る舞う」と語っている。

 これに対してAtsivの開発者らは、同ユーティリティは無署名ではあるものの、正規のドライバを64ビットVistaにロードする有用なツールだとして気炎を吐いている。

 MicrosoftのWindowsセキュリティ・アーキテクトであるスコット・フィールド氏は8月3日、リンチピンラボに認証を与えたVeriSignと協力しAtsivコード署名キーを無効化したと、Vistaセキュリティ・チームのブログに記している。

 「VeriSignは、Atsivカーネル・ドライバに署名するのに使用されるコード署名キーを無効化した(8月2日時点)。したがって、同コード署名キーは今後、正当なものとして認証されない」(フィールド氏)

 これに加えMicrosoftは、「Windows Defender」を8月2日にアップデートし、Atsivを検知および削除するシグネチャを追加した。Windows Defenderは、32ビットおよび64ビット版Vistaの両方に同梱されているスパイウェア対策ソフトである。

 フィールド氏は同ブログの中で、今回のカーネル署名問題はさして深刻ではないと述べている。「KMCS(Kernel Mode Code Signing)は、セキュリティ境界というより、セキュリティに対する多層防御対策の1つにすぎないと考えている。KMCSは、(良い、悪いといった)署名コードの『意図』を決定する手段とはなりえない。KMCSの主な利点は、任意のコードの作者を特定できる点にある」

 そうした意味では、Vistaのセキュリティ機能が回避されるという事態が発生したとはいえ、KMCSはAtsivのケースで「期待どおりの働きをした」と、フィールド氏は記している。

 フィールド氏のエントリには多くのコメントが寄せられているが、MicrosoftがAtsiv認証を無効にしたことについては、その大半が批判的だった。

 Benと名乗るユーザーは、次のように書いている。「Microsoftが持つ、署名認証を無効化するほどの力が、今後どのような影響を及ぼしていくのか不安に感じる。独自に定めたポリシーが侵害されないようプログラムに干渉していると(Microsoftが)非難されても、それはしかたがないだろう。今回の件は、同社が警察を自認しているばかりか、立法者をも気取っていることを示唆する興味深い出来事だ」

 またMichaelというユーザーは、Atsivツールを望まないものと断定するのは合理的ではないとしたうえで、以下のように記している。

 「Atsivには自己増殖能力はなく、権限昇格や、システム機能もしくはメモリなどの改竄も行わない。(おそらくは)文書化されているWindows APIを使用して、一部のユーザーが明らかに望んでいる機能を提供しているのである。同ツールを動作させるには、管理者権限が必要だ。また、UAC(User Account Control)ダイアログを確認できる場合もある。ユーザーが同ツールを自分のコンピュータにダウンロードし、動作させることを選んだのであれば、それは文字どおり『望んだ』ものであると定義できるわけだ」

 Atsivの開発元であるリンチピンラボにもコメントを求めたが、回答は得られなかった。同社は、Atsivが売りにしている機能を復活させるため、他社の認証を得るつもりかどうかといった点についても、方針を明らかにしていない。

(グレッグ・カイザー/Computerworld オンライン米国版)

Microsoft(米国)
http://www.microsoft.com/
リンチピンラボ(オーストラリア)
http://www.linchpinlabs.com/

提供:Computerworld.jp

MSDNの価格