「QuickTime」のセキュリティアップデートをマイスペースから提供--ユーザーに混乱も

　ソーシャルネットワーキングサイトMySpaceを週末から襲ったワーム攻撃に対処するため、同社はApple Computerのメディアプレーヤー「QuickTime」のセキュリティアップデートの提供を開始している。修正が必要と思われるユーザーには、MySpace上の各自のホームページにTomからのメッセージが表示され、そこからMySpace.comの特別ページに進むよう説明している。Tomとは同社の共同創設者で、MySpaceに登録すると最初にできる「友人」だ。

　この特別ページではユーザーに対し「Internet Explorer」（IE）のセキュリティ警告を無視し、「Apple Computer, Inc.」から「QuickTime」をインストールするよう指示している。このMySpaceのQuckTimeアップデートページは、MySpace上のほかのページと同じ作りだ。MySpaceには特にセキュリティ用とされるページがない。

　これが、MySpaceユーザーの間に混乱を起こしている。アップデートが真正なものかどうかという当然の疑問がわくからだ。なんと言っても、QuickTimeのセキュリティアップデートなら、MySpaceからではなくAppleから送信されるのが筋ではないか。セキュリティアップデートにみせかけて実は悪意あるプログラムだったというネット上の詐欺は、多くのインターネットユーザーの知るところだ。

　「自分のフロントページにこのお知らせが掲載されていて、すぐに何か変だと感じた」と、あるMySpaceユーザーはTomからのメッセージに関して、MySpaceの掲示板に書きこんだ。ほかにもお知らせが真正なのかどうか疑問に思っている人たちがいる。「最近ここはおかしなことだらけだ」と、別のMySpaceユーザーも書き込んでいる。

　しかしMySpaceは、かまわずクリックするという悪癖を、インターネットユーザーに示唆するのをやめようとしない。

　同社はTomのブログで今回の混乱に対する返答をした。「このリンク／アップデートは確かに本物で、ホームページ上に表示されたこれに関するメッセージは確かに私からのものだ」とTomは記し、「QuickTimeのウェブサイトからのアップデートはまだできない。ここからアップデートするように」とも書いている。また、途中でポップアップ表示されるIEのセキュリティ警告もクリックしてインストールするようにと説明している。

　Washington PostのBrian Krebs氏はパッチ提供が「非常に手際が悪い」としてMySpaceとAppleを非難している。

　MySpaceは米国時間12月5日、AppleにメディアプレーヤーQuickTimeをアップデートし、MySpaceに対する攻撃で悪用されないようにすることを要請していた。これは週末からQuickTimeムービーを偽装したワームがMySpace.comに出現し、MySpaceユーザーのプロファイルが変更されたことを受けてのものだ。このワームが広く感染したのはQuickTimeがJavaScriptのコードをサポートしていたからだ。

　Appleは、MySpaceに対して暫定的な修正を提供し、ユーザーに提供するかどうかはMySpaceの判断に委ねると語った。当初、この暫定ソリューションの提供時期を問い合わせたCNET News.comに対してMySpaceから返答はなかったが、その後MySpaceのウェブサイトに提示された。

　現在の修正はIEユーザーにしか効果がないようだが、今回の問題はほかのウェブブラウザを利用しているユーザーにも影響する。Appleはすべてのユーザーに対する広範なソリューションに取り組んでいると語っているが、それがどのような形で提供されるかは述べていない。