|
■URL
http://www.symantec.com/avcenter/security/Content/2001.10.05.html
http://www.phenoelit.de/stuff/Liveupdate.txt
米Symantecの製品に搭載されている「LiveUpdate」ツールにセキュリティーホールが存在することが明らかになった。このセキュリティーホールはおもにLiveUpdateバージョン1.4に生ずるもので、最新バージョンである1.6ではまったく完全とはいえないものの、直ちに影響が及ぶ危険性は少ないものと推定される。
LiveUpdateはSymantec製品のほとんどに搭載されているツール。スケジュールに則ってウィルスの定義ファイルや製品のアップデートファイルなどを自動的にダウンロードして製品を最新の状態に保つツールで、「Norton Antivirus」シリーズなどに主に搭載されている。
問題となっている症状は、LiveUpdateのバージョン1.4で生ずるもので、LiveUpdateがSymantecのアップデートを担当するFTPサイトに接続しようとするときに、攻撃者の設定した偽のFTPサイトに接続先を変更できてしまうというもの。そのサイトからウィルス、ワーム、トロイの木馬などのアプリケーションをダウンロードして実行してしまうというものだ。
この問題はドイツの技術者グループphenoelit.deが今年の9月22日に発見しSymantecに通報したもので、10月5日に発表されたSymantecの文面によれば、たとえ不審なファイルがダウンロードできたとしても、アンチウィルスに搭載されている「AutoProtect」機能により、そのソフトの実行は阻止されると説明している。
なお、このバージョン1.4は4年前に発表された古いもので、その後バージョン1.5が発表され、現在はすべての製品に最新のバージョン1.6.xが搭載されている。またバージョン1.4などの古いバージョンを利用しているユーザーは、2000年の7月から最新のバージョン1.6.xをアップデートとして無料でダウンロードできるようになっている。現在古いバージョンの利用者は早急にアップデートする必要がある。
phenoelit.deは、さらに最新バージョンのLiveUpdateバージョン1.6にもセキュリティーホールがあると指摘する。バージョン1.6ではダウンロードされるアップデートファイルがSymantec独自の暗号で暗号化されており、その上にデジタル署名もなされているため、このファイルが解読できない限り実行されることはない。しかし攻撃により製品のアップデートができなくなることもあるほか、分散DoS攻撃の脚台として使われる可能性があると指摘している。
これについてSymantecでは「phenoelit.deのグループによって解明されたDNS攻撃は、新しくも独自性のあるものでもない。これらは『インターネットインフラストラクチャー問題』として広く知られていたもので、Symantec製品独自の問題ではない」と指摘。また、LiveUpdateバージョン1.6で分散DoS攻撃が実行されるとしても、非常に小さなパーセンテージ、地域でしか被害が発生しないとの考えを表明した。
最近の一連のコンピューターウィルスによる攻撃はセキュリティーホールを放置しておいたことが被害拡大の一つの大きな原因となっており、今回のLiveUpdateのセキュリティーホールに関しても早急に措置をとることが被害を防ぐことになる。またSymantecではLiveUpdateを使わなくても、定義ファイルをSymantecのサイトからダウンロードして手動でアップデートすることもできるので、個人ユーザーにとってはそうした自衛策をとることも一つの選択肢となる。
(2001/10/12)
[Reported by taiga@scientist.com]