SCAN DISPATCH ：TCPプロトコルに”発見”された、致死的な脆弱性？

10月14日18時34分配信ScanSCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。攻撃を阻止する唯一の方法が「匿名接続を拒否し、ホワイトリストに登録された一部のIPからの接続のみを許可する」しかなく、「TCPは基本的に崩壊（Search Security)」したといわれるほどの重大な脆弱性が発見されたらしい。らしい、と言うのは、その脆弱性の仔細は、10月17日に初めて発表されるからである。そのため、現在セキュリティ界では、脆弱性の重要度、発見された日時、発見者などをめぐって喧々囂々である。この脆弱性、「TCP Resource Exhaustion Denial of Service (DoS)Attack」の脆弱性、あるいは「Sockstress Denial of service」の脆弱性などと呼ばれている（以降、Sockstressと表記）。”発見”したのは、スウェーデンに本社を置くOutpost24社の研究者Jack C. Louis氏。Louis氏と、同社のChief Security OfficerであるRobert Lee氏が、10月17日にフィンランドで開かれるT2 Security コンファレンスで仔細を公開する予定だ。公開に先駆けて両氏はポッドキャストでのインタビューで「TCP/IPは崩壊して修復できない」と危険度を強調している。それを受けてブログやニュースでは、Slashdotが「インターネット全体の次なる脅威・・・ブロードバンドのインターネット接続を攻撃してマシンをノックアウト、攻撃が終了してもマシンはオフライン・・」と紹介したり、DarkReadingでは「新しいDoS攻撃は殺人的」、Art Technicaが「研究者がクロス・プラットフォームの致死的なTCP/IPの問題点を公開」などと報道し、危険度が「最高」であるとの前評判が盛り上がっている。インタ－ネットの基本的なプロトコルの構造的な問題点であること、そして、「コンファレンスまで仔細は秘密だが、危険度は非常に高い」という前評判など、Dan Kaminsky氏のDNSリバウンドの続編のような展開になっている。現時点で集められる情報では、Louis氏がこの脆弱性を実際に”発見”したのは2005年のこと。Lee氏が考案したSocketStressのエクスプロイトはframeworkなので、多様な攻撃タイプをプラグインできる。TCPサービスが作動しているリモートマシンなら、種類を問わずにDoS攻撃を仕掛けられるが、TCPの設計上での問題点なために、パッチを当てることは不可能だ。ところがこのSockstressは、NMapの作者Fyodorによって2000年にStanislav ShalunovよりBugtraqに報告されているものと同じではないか、という声が上がっている。Fyodorも自らのブログで「マスコミは不確定な恐れ（報道）を広めている」としながら、「僕はNmapの作者として知られているけれど、2002年にNmapの付随ユーティリティのNdos（Network Denial of Service)という、リスンしているTCPサービスに対するDoS攻撃を行うツールも作っている」と書き、「10月5日に、両氏のSockstressのスライドを手に入れたが、技術的に疑問点が多いので両氏に質問をした。それに対してLee氏が「そのスライドは実際の脆弱性について説明していない」「Full Disclosure（完全な開示）を（現時点で）する必要性を感じていない」と返答を寄せている」と述べ、”新”脆弱性に疑問を投げかけている。Fydorの要点はこうだ。Sockstressの基本的な攻撃方法というのは決して新しいものではなく、ひとたび基本的な攻撃が理解できれば、その亜種を作成するのは簡単であること。仔細が発表されていないので言い切れないが、「（2000年に発見されたものと）同じバグであろう」こと。また、これはTCPの基本的な問題なので解決方法はないが、ひとたび攻撃が開始されれば…