« 禁制品のはなし | トップページ | [弁理士試験]条約案内(7) »

2007年8月23日 (木)

よわいはなし

以前にもここで書いた気がするが、ダイハードの4.0っていうのは何が「.0」なのかよくワカンナイなぁと思っていた。先日、何かのときにラジオで東京近郊のFM局、J-Wave をつけっぱなしにしていたら、ダイハードではないが、実質的に「ダイハード4」とでも呼んでいい映画が前に作られていて、そのことと今度のものが「4.0」という題名なのとに関連があるとかないとか、そんな話をしていた。映画の場合の1,2,3…は、第n作目っていう意味なのに対して、4.0とかいうと何だかコンピュータソフトウェアのバージョン番号みたいなので、関連が、とか言われてもなぁ。

▽ 去る7月某日、内閣官房情報セキュリティセンターなる機関が、JRE(Java Runtime Environment)の脆弱性に目をつけて、各省庁関連のシステムについて緊急の調査を行った。なお、「脆弱性」は、「ぜいじゃくせい」と読む。これを「きじゃくせい」と読むのは、某巨大掲示板由来の(?)故意の誤読である。

■ JRE の脆弱性
 ソフトウェアには大概どこかに欠陥があるものだ。極端な話、

「まともに動作するソフトウェアなど存在しない」

という人がある。そういう人は、

「ただ、特別な条件下でまともに動いているように見えるものがあるだけだ」

という。ユーザが故意・過失によってプログラマの予定していない行動をとるとき、ソフトウェアは違った面をみせることがある。それを言ってのことだと思う。

 SUN Microsystems(サン) の SUN は、Stanford University Network の略である。スタンフォード大学内でワークステーションの開発を行ったメンバーで創設された企業だ。ハードウェアのみならずソフトウェア面でもたいへん高度な技術を提供している。例えば、ネットワークを介したファイルシステムの提供を実現した NFS(Network File System)や、当初 yp(イエローページ) の名で呼ばれ、その後商標問題で改名したネットワーク・データベースシステム NIS (Network Information Service)などはその代表格である。また、Java などの言語でも広く知られている。

 さて、そのサンが提供する Java のランタイム環境(Java プログラムを動作させるために必要なソフトウェア)が、JRE である。
 JRE のバージョン番号の振られ方はちょっと変わってる。最初のころ、JRE1.2.3 のように呼ばれていた。1.2.3 なるバージョンがあったかどうか定かでないが、ここでは説明のためにこの数値を使おう。ここの「1」の位置、これを「メジャーバージョン」という。次の「2」の位置、これを「マイナーバージョン」という。さらに最後の「3」の位置、ここを「パッチレベル」と言ったりする。クルマでいうと分かりやすいかも知れないが、要はフルモデルチェンジがあればメジャーバージョンが変わり、マイナーチェンジであればマイナーバージョンが変わる。リコールなどの不具合に対応して部品にちょっとした変更が加わればそれがパッチレベルというところだろうか。
 で、JRE は、1.3.1→1.4→…→1.4.2 のように「順調」に進んでいたのであるが、1.5 になるとき、

前のバージョンに比べて完成度、安定性、拡張性、セキュリティの面で大幅に改善されている

というので、本来のバージョン 1.5 を 5.0 と呼ぶようにしたのである。ちなみに、似たような例はいっぱいある。
 さらに SUN では、JRE 5.0 以降、パッチレベルのアップデートがあるごとに「Update n」のようにアップデート番号を付して呼ぶようになっている。それで現時点で確認できる最新版というのは、

JRE 6.0 Update 2

である。
もっとも、従来のソフトウェアとの互換のため、SUN では JRE 5.0 のラインも残していて、こちらの最新版は、

JRE 5.0 Update 12

である。

■ 内閣官房情報セキュリティセンターの指摘

 内閣官房情報セキュリティセンターは、結局、JRE に関係する、14府省庁に亘る33のシステムを調査したらしい。そのうち20のシステムで更新が必要であることがわかった。
 と、いうのは政府系のシステムでは時間をかけた検証を行う結果、検証を行ったバージョンで固定し、あとはそのバージョンのソフトウェアを、ずーっと使われていることが多いらしいのである。たとえアプリケーション自体でなくても、それが利用するソフトウェアを下手にバージョンアップをすると、どのような動作になるか保証できない…というわけだ。
 そして、この調査の結果、皮肉にも早い時期からこうしたシステム面で取り組みを行っていた特許庁のシステムの一つが引っ掛かったわけだ。特許庁推奨の JRE は、今年7月当初の時点での話、JRE 1.4.2_10 。一体全体いつから…という感じだ。

 この指摘に使われた JRE の脆弱性情報は、おそらくJVNVU#138545、イメージ解析コードにおける脆弱性までの情報だと思われる(http://jvn.jp/cert/JVNVU%23138545/index.html)。この問題点については、Sun がその後にリリースした JRE 6.0 Update 1 と、JRE 5.0 Update 11とで修正が行われている。

 ところが

■ 対応その後
 特許庁の対策サイト(http://www.jpo.go.jp/torikumi/kouhou/kouhou2/denshikensho.htm)を見てみると、こうだ。例のインターネット利用による公報の電子署名に利用している JRE が JRE1.4.2_10 で脆弱性を有する。対象になる JRE 製品は、

・JRE 6
・JRE 5.0 Update 10およびそれ以前のバージョン
・JRE 1.4.2_14およびそれ以前のバージョン
・JRE 1.3.1_20およびそれ以前のバージョン

だとしたうえで、JRE 5.0 Update 11 へのバージョンアップを勧めている。これが7月10日の時点
 しかし、である。その後 JRE には新たな脆弱性が見つかっている。Java Web Start のバッファオーバーフローの脆弱性である(JVNVU#481921、http://jvn.jp/cert/JVNVU%23481921/index.html)。これが8月2日の時点。この脆弱性は、JRE 5.0 Update 11 と、JRE 6.0 Update 1 が影響を受けることとなっており、サンは、早速対応して、JRE 5.0 Update 12 と、JRE 6.0 Update 2 をリリースしたわけなのである。
 つまり、8月に入ってから7月10日の警告に気がついて、Update 11 へアップデートしようと思い、サンのウェブサイトを訪ねてみると、そこには最新版として Update 12 があるということになったわけだ。特許庁の対応は、内閣府の指摘からかなり迅速であったとおもうのに、その迅速な対応の結果ですら、ひと月も経たないうちにもう、古いシステムになってしまっているのだ。

■ JRE にまつわる脆弱性
は、さらにその後も見つかっている。フォント解析コードの脆弱性である。幸いなことに(?)この影響を受ける JRE は、例えば 5.0 ならば Update 9 以前ということで、上記特許庁サイトの記載には直接関係がない。しかし今後も似たような「追いかけっこ」が起きないとも限らない。脆弱性のないソフトウェア開発は殆ど不可能に近く、一般的には、可及的速やかな修正があればそれでいいという対応が常態化している。これはもう抜本的にやり方を変えていかないと永遠に追いつけないんじゃないだろうか。

 最新版で手続をしたとして、その最新版であるがゆえの不利益が生じたとして、当該不利益に対する救済の問題なんじゃないかと思うのだが。

 いや、ことは特許庁だけの問題ではない。だいたい内閣官房情報セキュリティセンターからして、7月20日に「みんな対策した」みたいなレポートだして終わりみたいだものなぁ。大丈夫かなぁ。

|

« 禁制品のはなし | トップページ | [弁理士試験]条約案内(7) »

コメント

信用第一、良い品質
主要取扱商品 バッグ、財布、腕時計、ベルト
品質がよい 価格が低い 実物写真 品質を重視
不良品物情況、無償で交換します.
税関没収する商品は再度無料で発送します!
ご注文を期待しています!
スーパーコピー商品 https://www.yuku006.com/ProductList1.aspx?TypeId=760873866619195

投稿: スーパーコピー商品 | 2020年5月19日 (火) 10時48分

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: よわいはなし:

« 禁制品のはなし | トップページ | [弁理士試験]条約案内(7) »