Return-Path: kjm@ideon.st.ryukoku.ac.jp
Received: from rins.st.ryukoku.ac.jp (rins.st.ryukoku.ac.jp [133.83.4.1])
	by ideon.st.ryukoku.ac.jp (8.9.3/3.7W/kjm-19990628) with ESMTP id QAA47749
	for <kjm@ideon.st.ryukoku.ac.jp>; Mon, 5 Jul 1999 16:39:19 +0900 (JST)
Received: from ideon.st.ryukoku.ac.jp (ideon.st.ryukoku.ac.jp [133.83.36.5])
	by rins.st.ryukoku.ac.jp (8.8.8+2.7Wbeta7/3.6W/RINS-1.9.5.2-NOSPAM) with ESMTP id QAA18576
	for <kjm@rins.ryukoku.ac.jp>; Mon, 5 Jul 1999 16:39:18 +0900 (JST)
Received: from ideon.st.ryukoku.ac.jp (kjm@localhost [127.0.0.1])
	by ideon.st.ryukoku.ac.jp (8.9.3/3.7W/kjm-19990628) with ESMTP id QAA47744;
	Mon, 5 Jul 1999 16:39:16 +0900 (JST)
From: kjm@rins.ryukoku.ac.jp (KOJIMA Hajime /
    =?ISO-2022-JP?B?GyRCPi5FZ0glGyhC?=)
To: wnt@nikkeibp.co.jp
cc: kjm@rins.ryukoku.ac.jp
Subject: =?ISO-2022-JP?B?GyRCNS47bxsoQg==?= 1999.07 p.31
       =?ISO-2022-JP?B?GyRCJE41LTt2IVYbKEJJSVM=?= 4.0
       =?ISO-2022-JP?B?GyRCJEtDV0w/RSokSiU7JS0lZSVqJUYlIyEmJVshPCVrGyhC?=
       =?ISO-2022-JP?B?GyRCJCxIPUxAGyhCIBskQiVWJWklJiU2JCskaSU1ITwbKEI=?=
       =?ISO-2022-JP?B?GyRCJVAhPCRyQWA6biQ1JGwkazRtODEkYiFXJEskRCQkGyhC?=
       =?ISO-2022-JP?B?GyRCJEYbKEI=?=
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-2022-jp
Date: Mon, 05 Jul 1999 16:39:16 +0900
Message-ID: <47740.931160356@ideon.st.ryukoku.ac.jp>
Sender: kjm@ideon.st.ryukoku.ac.jp

  はじめまして。龍谷大学理工学部の小島と申します。龍谷大学理工学部ネッ
  トワークの管理をしています。

  今回 mail させて頂きましたのは、貴誌 1999.07 p.31 の記事「IIS 4.0 に
  致命的なセキュリティ・ホールが判明 ブラウザからサーバーを操作される
  危険も」についてです。

  と言っても、記事そのものに関する事ではありません。記事のその後、特に
  マイクロソフト日本法人の動きについて、です。
 
事件の経緯
----------
 
  eEye から security hole の存在が公表された直後、Microsoft 本社は
  Security Advisor ページにおいて不具合の存在と緊急対処方を公開しまし
  た。これは、基本的には eEye の公表内容を追認するものでした。さらに
  Microsoft は、2 日後に patch が完成すると情報を即座に update しまし
  た。この patch には、eEye が把握していなかった弱点に対する fix すら
  含まれていました。

<http://www.microsoft.com/security/bulletins/ms99-019.asp>

  上記は 2 度に渡る改定を経た物となっていますが、Microsoft 本社が当初
  公開した内容は、セキュリティ情報 mailing list "BUGTRAQ" のアーカイブ
  から得られます。

<http://www.netspace.org/cgi-bin/wa?A2=ind9906c&L=bugtraq&F=&S=&P=623>

  Microsoft 本社はセキュリティ情報を登録ユーザに対して mail で配布して
  おり、上記はこの mail が BUGTRAQ に転載されたものです。配布登録は無
  料で行えるようになっています。これによって、Microsoft 本社は弱点の存
  在を広く広報する事ができていると言えます。私自身、official fix に関
  する第一報はこの mail 配布サービスによって得ました。

<http://www.microsoft.com/security/services/bulletin.asp>

  この弱点が公開されるまでの Microsoft 本社の動きについては問題も指摘
  されているようですが、上記のように、公開されて以降の Microsoft 本社
  の動きは非常に素早いものであり、インターネットサーバ運用者の立場から
  見ても安心できるものでした。

<http://www.zdnet.co.jp/news/9906/21/security2.html>

  一方、マイクロソフト日本法人の動きはどうだったか?

  マイクロソフト日本法人は、6/16 (日本時間) に弱点が公表され、御社
  BizIT や ZDNet NEWS 等のニュースサイトで大きく取り上げられ、シアトル
  本社が緊急対応を行っているにもかかわらず、何の情報も発信しませんでし
  た。更には、シアトル本社において日本語 NT 4.0 x86 プラットホーム用の
  patch が開発され、6/21 に anonymous FTP において公開された時点ですら、
  何の情報も発信しませんでした。 

  貴誌でも述べられているように、今回発見された弱点は非常に重大な欠陥で
  す。特に、弱点発見者の eEye において弱点のデモコードが (当時) 公開さ
  れていたという点では、これまでの弱点とは比べものにならないくらい重大
  な事態です。eEye のコードはそのまま日本語版 NT/IIS に適用できるわけ
  ではありませんが、JWNTUG (日本 WindowsNT ユーザーズグループ) や (株)
  ラックでは同様の手法を用いた日本語 IIS に対する site 乗っ取りが可能
  である事を確認しており、知識のある攻撃者に対しては無防備であると言わ
  ざるを得ません。

<http://www.jwntug.or.jp/services/newsletter/19990623/02.html>
<http://www.lac.co.jp/security/test/>

  マイクロソフト日本法人からようやく情報が発信されたのは、eEye による
  弱点公開から 2 週間が経過した 6/30 のことでした。マイクロソフト技術
  情報 J048654 「[IIS] 適切ではない HTTP リクエストで IIS が停止する」
  がそれです。

<http://www.microsoft.com/japan/support/kb/articles/J048/6/54.htm>

  しかし、それでもまだ問題があります。マイクロソフト技術情報は IT 専門
  家のためのものであり、一般のユーザや管理者が常時読むようなものではあ
  りません。マイクロソフト日本法人でも本社 Security Advisor ページに対
  応するものを運営しており、ここに詳細かつわかりやすい情報を掲載すべき
  にもかかわらず、今に至るまで何も記述されていません。

<http://www.microsoft.com/japan/security/>

  Microsoft 本社は、最近発見された弱点については FAQ までついた非常に
  内容の濃いものを公開しています。例として、日本の IIS 3, 4 運用者にとっ
  て非常に重要な事項を含む MS99-022 を示します。日経インターネットテク
  ノロジーのセキュリティページでも報道されている件です。当然のように、
  本件に関する情報もマイクロソフト日本法人は公開していません。
  
<http://www.microsoft.com/security/bulletins/ms99-022.asp>
<http://www.microsoft.com/security/bulletins/MS99-022faq.asp>
<http://nit.nikkeibp.co.jp/news/309.shtml>

  また、Microsoft 本社は先日開催されていた The 1st Annual NTBugtraq
  Conference にも人員を派遣しています。NTBugtraq は WindowsNT に関する
  不具合を話し合う、公開メーリングリストです。
  
<http://ntbugtraq.ntadvice.com/default.asp?pid=64&sid=1>
  
  積極的な情報公開をおし進め、ユーザやセキュリティ専門家とも対話を行い
  つつ WindowsNT/Windows2000 の改良を行う Microsoft 本社と、情報公開に
  非常に消極的なマイクロソフト日本法人。日米の情報格差は開くばかりです。


お願い
------
 
  本件について、特にマイクロソフト日本法人への情報公開の推進を求めるよ
  うな記事を執筆していただけないでしょうか?  上記をベースとしていただ
  いてもかまいません。

  セキュリティ対応 patch の開発にある程度の時間がかかるのは理解できま
  す。今回問題にしているのはそうではなく、patch 以前の問題、情報提供の
  問題です。

  現状のような情報提供状態においては、正直に申しまして、Internet サー
  バとして日本語版 WindowsNT を使う事は恐くてできません。セキュリティ
  を確保するには英語版 WindowsNT を使わざるを得ない状況です。これは、
  日本語 NT による Internet サイトが多数存在する現状を考えると、非常に
  問題のある事態です。
 
  現在マイクロソフト日本法人に求められているのは、以下の事項です:
 
* 本国 Microsoft と同等のセキュリティ情報の早期提供: 
  本国 Security Advisor ページと日本語 Security Advisor ページとの間の
  情報格差/時差の解消

  次のものがあれば、よりよいでしょう:

* セキュリティ情報提供 mailing list の開設:
  本国と同様のサービスの提供

  セキュリティ対応 patch の早期開発ももちろん必要ですが、必要なのはそ
  れだけではありません。むしろ、情報公開こそがより強く求められていると
  考えます。

  以上、前向きにご検討くださるよう、よろしくお願い致します。

----
小島 肇 - KOJIMA Hajime - 龍谷大学 理工学部 電子情報学科 (RINS)
[Office] kjm@rins.ryukoku.ac.jp, http://www.st.ryukoku.ac.jp/~kjm/
         Phone: 077-543-7414  Fax: 077-543-0706