Microsoft、Vistaの署名認証回避ツールに対抗――ツールの署名キーを無効化――一部ユーザーは「警察気取り」と同社を批判
Symantecの研究者であるオリー・ホワイトハウス氏によると、オーストラリアのリンチピンラボが7月20日にリリースした「Atsiv」ユーティリティは、署名のあるドライバを使用して、ほかの無署名ドライバをVistaカーネルにロードするものだという。Atsivを利用すれば、64ビット版Vistaに実装された機能、すなわちデジタル署名されたドライバのみをVistaカーネルにロードできるようにする機能を回避できる。
このVistaの機能は、OSの中核であるカーネルを、マルウェアを隠蔽するrootkitクローキング技術などから守ることを目的としている。ホワイトハウス氏は、「Atsivはまさしくrootkitのように振る舞う」と語っている。
これに対してAtsivの開発者らは、同ユーティリティは無署名ではあるものの、正規のドライバを64ビットVistaにロードする有用なツールだとして気炎を吐いている。
MicrosoftのWindowsセキュリティ・アーキテクトであるスコット・フィールド氏は8月3日、リンチピンラボに認証を与えたVeriSignと協力しAtsivコード署名キーを無効化したと、Vistaセキュリティ・チームのブログに記している。
「VeriSignは、Atsivカーネル・ドライバに署名するのに使用されるコード署名キーを無効化した(8月2日時点)。したがって、同コード署名キーは今後、正当なものとして認証されない」(フィールド氏)
これに加えMicrosoftは、「Windows Defender」を8月2日にアップデートし、Atsivを検知および削除するシグネチャを追加した。Windows Defenderは、32ビットおよび64ビット版Vistaの両方に同梱されているスパイウェア対策ソフトである。
フィールド氏は同ブログの中で、今回のカーネル署名問題はさして深刻ではないと述べている。「KMCS(Kernel Mode Code Signing)は、セキュリティ境界というより、セキュリティに対する多層防御対策の1つにすぎないと考えている。KMCSは、(良い、悪いといった)署名コードの『意図』を決定する手段とはなりえない。KMCSの主な利点は、任意のコードの作者を特定できる点にある」
そうした意味では、Vistaのセキュリティ機能が回避されるという事態が発生したとはいえ、KMCSはAtsivのケースで「期待どおりの働きをした」と、フィールド氏は記している。
フィールド氏のエントリには多くのコメントが寄せられているが、MicrosoftがAtsiv認証を無効にしたことについては、その大半が批判的だった。
Benと名乗るユーザーは、次のように書いている。「Microsoftが持つ、署名認証を無効化するほどの力が、今後どのような影響を及ぼしていくのか不安に感じる。独自に定めたポリシーが侵害されないようプログラムに干渉していると(Microsoftが)非難されても、それはしかたがないだろう。今回の件は、同社が警察を自認しているばかりか、立法者をも気取っていることを示唆する興味深い出来事だ」
またMichaelというユーザーは、Atsivツールを望まないものと断定するのは合理的ではないとしたうえで、以下のように記している。
「Atsivには自己増殖能力はなく、権限昇格や、システム機能もしくはメモリなどの改竄も行わない。(おそらくは)文書化されているWindows APIを使用して、一部のユーザーが明らかに望んでいる機能を提供しているのである。同ツールを動作させるには、管理者権限が必要だ。また、UAC(User Account Control)ダイアログを確認できる場合もある。ユーザーが同ツールを自分のコンピュータにダウンロードし、動作させることを選んだのであれば、それは文字どおり『望んだ』ものであると定義できるわけだ」
Atsivの開発元であるリンチピンラボにもコメントを求めたが、回答は得られなかった。同社は、Atsivが売りにしている機能を復活させるため、他社の認証を得るつもりかどうかといった点についても、方針を明らかにしていない。
(グレッグ・カイザー/Computerworld オンライン米国版)
Microsoft(米国)
http://www.microsoft.com/
リンチピンラボ(オーストラリア)
http://www.linchpinlabs.com/
提供:Computerworld.jp