～PCのデータの書き換えや破壊が行なわれる可能性も

ジャストシステムのオンラインヘルプソフトに脆弱性、約420モデルのPCに搭載

■URL
http://www.cybersupport.justsystem.co.jp/sony/index.html (ソニーの対策サイト)
http://www.cybersupport.justsystem.co.jp/hitachi/index.html (日立の対策サイト)
http://www.cybersupport.justsystem.co.jp/toshiba/index.html (東芝の対策サイト)
http://www.cybersupport.justsystem.co.jp/nec/index.html (NECの対策サイト)

ソニーの対策サイト

　株式会社ジャストシステムが提供するオンラインヘルプソフト「CyberSupport」に脆弱性が発見され、警告が発せられた。「CyberSupport」は、PCを利用する際の分からないことや知りたいことを文章で入力すると、ソフトがヘルプやオンラインヘルプから該当する解説文書等を検索し、ユーザーに提示するオンラインヘルプソフト。ソニー、NEC、東芝、日立などのPC製品にプリインストールもしくはバンドルCDの形で添付されており、約420モデルが対象となっている。ジャストシステムは、Webサイト上で対策ソフトの提供を開始しており、対象者に早急な対応を呼びかけている。

　今回問題となったのは、「CyberSupport」のセキュリティー上の欠陥から起こるもの。この脆弱性は、「CyberSupport」によってインストールされる際のActiveXコントロールに原因があるという。ActiveXコントロールを利用するInternetExplorerやOutlookExpressなどを使用する際に、問題が発生する可能性がある。

　具体的には、悪意のあるスクリプト等が埋め込まれたWebサイトを閲覧した際や、OutlookExpressなどでhtml形式のメールプレビュー機能を利用した際に、データの書き換えや破壊等が可能になってしまう危険性がある。

　対応策としては、「ジャストシステムから提供されているパッチを導入する」、「PCにインストールされている『CyberSupport』をアンインストールする」、「IEのセキュリティー設定を変更する」などが挙げられる。
　1番目の対策方法としては、ジャストシステムからそれぞれのメーカーに対応したパッチがWebサイト上で提供されているので、対象製品を利用しているユーザーは早急に適用する必要がある。
　2番目の対策方法である「CyberSupport」をアンインストールする方法は、今後一切「CyberSupport」が利用できなくなるので、「CyberSupport」が必要のないユーザー向けの対策といえる。
　3番目のIEのセキュリティー設定の変更する方法は、IEの「インターネットオプション」の中にある設定を変えるというもの。具体的な設定方法は、以下の通り。

・「スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行」の欄を
「無効にする」に変更する
・「ActiveXコントロールとプラグインの実行」の欄を「無効にする」に変更する
・「アクティブスクリプト」欄を「無効にする」に変更する

　ソニーの対策ページでは、2002年1月に発表された「VAIOセキュリティ強化プログラム」と、今回の脆弱性は違う問題であり、それぞれ対応が必要だとされている。従って、2002年1月に「VAIOセキュリティ強化プログラム」を適用したユーザーでも、今回のパッチは別途適用する必要があるので、注意が必要だ。

◎関連記事
■ソニー、VAIOにセキュリティー脆弱性があると発表

(2002/5/23)

[Reported by otsu-j@impress.co.jp]