SETI@homeのクライアントソフト、侵入者に乗っ取られる恐れ

　世界中のパソコンの処理能力を集結してET（地球外知的生命体）を探すというSETI@homeプロジェクトは米国時間4月5日、クライアントソフトウェアの脆弱性を修正するため、新バージョンをリリースした。

　同プロジェクトのウェブサイトによると、SETI@homeソフトウェアは440万人の登録者のパソコンにインストールされており、このうちアクティブユーザーは50万〜60万人とみられる。クライアントソフトウェアはスクリーンセーバー形式で、電波望遠鏡が集めた生のデータをインターネットからダウンロードして、知的生命体の兆候がないかを調べる。膨大な量のデータ解析は複雑で手間のかかる計算となるが、このプロジェクトでは世界中のパソコンから未使用の処理能力を利用する仕組みをとっている。

　問題の脆弱性は、バッファオーバーフローが原因となるもので、攻撃者がこれを利用して特別にフォーマットされた要求を送信すると、プロジェクト参加者のパソコンを乗っ取ることができる。Windows用スクリーンセーバー、Mac OS用スクリーンセーバー、LinuxおよびUNIX用コマンドラインのクライアントなど、クライアントソフトウェアの全てのバージョンに影響を及ぼす。

　この脆弱性は、昨年12月にオランダのセキュリティ研究家が報告した3つの脆弱性の1つ。残る2つのうち1つは、クライアントからサーバに送信される情報が暗号化されないというもの。もう1つは、SETI@homeのメインサーバを攻撃の脅威にさらすものだという。これらの検出は昨年末だが、公表されたのは今週のことだ。SETI@homeは、サーバの脆弱性を約2カ月前に修正したと主張している。

　ソフトウェアの最新版とパッチは、SETI@homeのサイトからダウンロードできる。Windows、Linux、Solaris向けコマンドライン版は7日から入手可能となる。また、脆弱性についての情報は、ソフトウェアの他のバージョンを開発している各オープンソースプロジェクトに提供済みである。