2 年間にわたる攻撃データの分析により、攻撃者がオープンソース コードにアクセスし、オープンソース ソフトウェアの脆弱性を悪用して攻撃を仕掛けることができることが明らかになりました。

ボストン大学キャロル経営大学院の助教授でこの報告書の著者でもあるサム・ランズボサム氏によると、侵入検知システム（標的のソフトウェアと脆弱性を識別する機能を持つ）から4億件の警告を収集したこの報告書は、オープンソースソフトウェアの脆弱性はクローズドソースソフトウェアの脆弱性よりも悪用されやすいことが多いことを示しているという。

ランズボサム氏は、非線形回帰分析などのモデルを用いて、オープンソースソフトウェアの脆弱性に対する攻撃は、クローズドソースソフトウェアに対する攻撃よりも3日早く発生し、頻度は50%高いことを発見しました。ランズボサム氏は、特定の脆弱性を悪用する手法の普及は、技術革新のスピードと同程度に速いと考えています。

この報告書は、オープンソースとクローズドソースのソフトウェア開発モデルをめぐる議論を再燃させる可能性があります。オープンソースおよびクローズドソースシステムの支持者は、オープンソースオペレーティングシステムであるLinuxはWindowsよりも安全である、あるいはMozillaのオープンソースブラウザであるFirefoxはInternet Explorerよりも安全であると主張しています。オープンソース支持者は、コードへのアクセスによって開発者がソフトウェアの脆弱性をより迅速に発見できると主張しますが、反対派は、攻撃者もオープンソースコードの脆弱性をより迅速に悪用できるため、セキュリティが低下すると主張しています。

ランズボサン氏は、収集したアラートを、2006年と2007年の13,000のソフトウェア製品の脆弱性をリストアップした国家脆弱性データベース（NVD）の脆弱性データと比較した。これらの製品のうち、オープンソースソフトウェアまたはクローズドソースソフトウェアとして分類できるのは半分だけだった。

ランズボサム氏は、侵入検知システムを組み合わせて脆弱なシステムの攻撃能力を特定することで、オープンソースおよびクローズドソースのソフトウェアにおける883件の既知の脆弱性を分類しました。また、攻撃者による脆弱性の悪用における複雑さや、脆弱性が報告された時点で侵入検知システムが有効なシグネチャを有していたかどうかなど、他の属性に基づいて脆弱性を分類しました。

最終的に、この2年間で攻撃者が標的とした脆弱性はわずか97件であることが判明しました。しかし、これはアラートの4分の1を占めるに過ぎず、残りのアラートは非オープンソースまたはクローズドソースのソフトウェアに対する攻撃、つまり識別可能な属性のない脆弱性に対する攻撃、あるいは誤報でした。

ランズボサム氏の分析によると、オープンソース ソフトウェアの脆弱性は、クローズドソース ソフトウェアの脆弱性よりもはるかに速く悪用されることがわかった。

オープンソースコードへのアクセスは攻撃を容易にするだけでなく、ランズボサム氏の研究では、シグネチャ（様々なセキュリティ製品が既知の脆弱性パターンを照合するためにシグネチャを使用している）の存在と過去の攻撃との関連性も明らかになった。セキュリティ担当者がセキュリティ強化のために使用するシグネチャは、実際には攻撃者にとって有利に働くのだ。

「これは、これらのシグネチャが脆弱性の特定に役立つこと、また攻撃者がそれをどのように悪用できるかを示すことができることを示している」とランズボサム氏は述べた。

他の研究でも、シグネチャやその他の防御手段が実際には攻撃者に脆弱性情報を漏洩させていることが示されています。2007年には、研究者らが主流の侵入検知システムのシグネチャを用いて攻撃コードを作成しました。2008年には、ソフトウェア企業が公開した自動脆弱性分析に基づいて、潜在的な攻撃脆弱性を生成するシステムを構築しました。

しかし、セキュリティ専門家は、多くの要因によってデータが歪められる可能性があるため、ランズボサムの分析データを完全に信頼すべきではないと考えている、とセキュリティ会社イミュニティのテクニカルディレクター、デビッド・アイテル氏は述べた。

ランズボサム氏のデータによると、攻撃者が標的とした97件の脆弱性のうち、オープンソースソフトウェアに存在するのはわずか30件に過ぎず、これは頻繁に悪用される脆弱性はごくわずかであることを意味します。アイテル氏は、攻撃者が企業ネットワークへの侵入にあたり、比較的重要度の低いオープンソースソフトウェアをランダムに標的にし、クローズドソースソフトウェアで稼働する重要なシステムに集中している可能性を示唆しています。

Immunity の顧客は、Windows、Internet Explorer、Adobe Acrobat、Java など、クローズドソース ソフトウェアを実行するシステムに最も関心があるため、Immunity の研究者は脆弱性レポートから 24 時間以内にクローズドソース ソフトウェアの脆弱性を悪用しようとしますが、オープン ソース ソフトウェアの脆弱性にはあまり注意を払いません。

他のセキュリティ専門家は、ソフトウェアがオープンソースかクローズドソースか、あるいは企業がどのように開発しているかとは関係のない、より広い視点を持っています。つまり、攻撃者は、自動化された攻撃ソフトウェアを通じてであれ、ソースコードにアクセスすることによってであれ、脆弱性を悪用するための情報を常に入手できます。

[編集者のおすすめ]

1. 世界中で Linux ユーザー ベースが拡大するにつれて、開発者はオープン ソースを好むようになります。
2. 視点：Ubuntu 10.04でオープンソース技術を商業化する方法
3. CentOS 5.5 が正式にリリースされ、純粋なオープンソースの時代が継続しています。
4. オープンソーステクノロジーは、企業がゼロコストのネットワークソリューションを構築するのに役立ちます
5. Fedora 13 デスクトップの改善: オープンソースイノベーションのハブ