Second Lifeでリンデンドルが盗難の恐れ--ハッカーが指摘

　Linden Labが運営するオンライン仮想世界「Second Life」内で流通する仮想通貨の略奪を可能にする方法を2人のセキュリティ研究者が発見した。ジャーナリストのDean Takahashiが米国時間11月30日に、San Jose Mercury Newsのブログで報じている。

　これは当然、重大な問題である。というのも、Second Life 内で使用される「リンデンドル」と呼ばれる仮想通貨は米ドルに直接交換可能だからだ。

　Takahashi氏の記事によると、Charles Miller氏とDino Dai Zovi氏という2人のハッカーがTakahashi氏に、Second Lifeの住人が所有するリンデンドルの略奪を可能にするセキュリティ上のエクスプロイトを発見したと語ったという。

　このエクスプロイトは、Second Life内でビデオを再生するために使用されるAppleのQuickTimeソフトウェアに関係している。

　Takahashi氏は、「このエクスプロイトが可能なのは、Second Lifeではユーザーが自分のキャラクターや仮想世界での所有物に映像や画像を組み込めるからだ」とし、さらに次のように続けた。「仮に（Second Life内で）ユーザーがある物体に近づき、その物体が見える位置まで来ると、Second LifeソフトウェアがQuickTimeを起動し、その物体の映像や画像を再生する。それらが再生されている間、QuickTimeはSecond Lifeソフトウェアをウェブサイトに誘導する。ハッカーたちはこの仕組みを利用し、QuickTimeの脆弱性を利用することにより、他のユーザーがSecond Life内で使用するアバターを乗っ取る目的で作られた悪意あるウェブサイトにSecond Lifeソフトウェアを誘導するのだ」

　そして最終的に、悪意あるハッカーたちは、そのアバターからすべてのリンデンドルを奪ってしまう。

　Takahashi氏の記事によると、Linden Labは同氏に対し、そのエクスプロイトに関しては容易にパッチの適用が可能だと語ったという。しかし、それにもかかわらず、Linden Labは30日に、同社のブログにこの問題に関する警告を掲載した。

　Takahashi氏によると、Linden Labは同氏に次のように語ったという。「われわれは少し前に、複数のインターネットセキュリティの専門家からAppleのQuickTimeソフトウェアにあるエクスプロイトが発見されたとの警告を受けた。彼らによると、攻撃者がそれを利用し、QuickTimeを使っているユーザーをクラッシュさせたり、利用することもありうるという。Second Lifeのビューアも映像の再生にQuickTimeを使用していることから、このエクスプロイトがSecond Lifeの住人に悪影響を及ぼす恐れがある。このエクスプロイトはQuickTimeを使用するすべてのプラットフォームに影響を及ぼすが、Appleは今のところ、これに対するフィックスをリリースしていない」

　ただ、Takahashi氏の記事によると、Linden Labは同社が把握している限り、このエクスプロイトを利用した窃盗事件は起きていないと述べているという。

　Second Lifeの住人が取りうる解決策としては、多額のリンデンドルを所持しないことが考えられるだろう。

　Takahashi氏からリンデンドルの安全性に関する同氏の記事についてコメントを求められた際、私は次のように答えた。「Second Life内のある経営者が語っていたように、（中略）何が起こるか分からないので、ユーザーはすべてを失ってしまいかねない重大な技術的トラブルに備えて、常にバックアッププランを用意しておくべきだ。リンデンドルについては、（リンデンドルから米ドルへの）交換をこまめに行い、Second Lifeのアカウントに必要以上のリンデンドルを貯めておかないことが予防策となるだろう。Second Life内に所有していなければ失うことはないからだ」