「Sendmail」に深刻な脆弱性--攻撃者に悪用されるおそれ

　研究者らが米国時間3月22日、人気の高いオープンソースおよび商用の電子メールソフトウェア「Sendmail」の一部のバージョンに、深刻な脆弱性が存在していると発表した。ただし、これらの問題を修復するパッチはすでに提供されている。

　Internet Security SystemsのMark Dowd氏が報告したこの脆弱性は、攻撃者がPCをリモートからコントロールするのに悪用されるおそれがあるという。侵入者は、SMTPメールサーバに任意のコードを一定の間隔で送信し攻撃すると、セキュリティプロバイダーISSおよびFrSirtの警告には記されている。

　この攻撃では、電子メールの配信が妨害または遮断され、侵入者が脆弱なシステム上のほかのプログラムやデータを改ざんできるようになる。また、攻撃を受けたマシンのネットワークに含まれる、ほかのシステムへのアクセスも可能になることがある。

　Sendmailプロジェクトを統括しているSendmail Consortiumによると、この脆弱性は、同オープンソースソフトウェアのMicrosoft Windows版ばかりでなく、LinuxおよびUnixに対応するSendmail 8から8.13.5の全バージョンに影響を与えるという。また、商用Sendmailを販売しているSendmail Inc.は、同社の「Sendmail Switch」「Sentrion」「Advanced Message Server」といった製品が影響を受けると述べている。

　Sendmail Consortiumは、世界中でやり取りされる電子メールの70％が、Sendmailソフトウェアを用いて配信されていると見積もっている。

　「SMTPは確実に境界ファイアウォールを通過できる数少ないリスニングサービスの1種であることから、多くの攻撃者がこの脆弱性を悪用する手法を考案するのに力を入れ、（Sendmailの主なユーザーである）企業や政府のネットワークへの侵入を試みると思われる」と、ISSのX-Force研究チームディレクターGunter Ollmann氏は指摘した。

　Symantecの脅威分析チームは、今回の脆弱性を深刻なものと分類し、広範囲にわたって悪用されるおそれがあることを示した。

　Sendmail Consortiumはオープンソースユーザーに対して、同ソフトウェアを問題の修復パッチが含まれているバージョン8.13.6へアップグレードするよう、強く推奨している。同バージョンは、Sendmail Consortiumのウェブサイトから入手可能だ。2種類の旧版に対応したパッチもダウンロードできるが、それらのパッチが機能しないことも考えられるため、Sendmail Consortiumはこうした対策を勧めていない。

　同ソフトウェアの商用版を利用しているユーザーは、同社の勧告を通じて、推奨される対策を施すための情報を入手できる。

　広く利用されているSendmailソフトウェアに関して、こうした問題が発生したのはこれが初めてではない。2003年にも、セキュリティ研究者らが複数の脆弱性が存在していることを把握していた。