Secunia、CA製バックアップ製品の安全性を警告

　セキュリティ企業であるSecuniaによると、アンチウィルスコンポーネントを搭載している一部のCA製品には「コード上に本質的な問題」が存在しているという。同社は現地時間1月14日に、セキュリティ脆弱性についての年次報告書を公開している。

　Secuniaが非難しているCA製品の1つは「ARCserve Backup」だった。同社はこの製品のコードの記述が不十分であると指摘している。

　Secuniaの最高技術責任者（CTO）であるThomas Kristensen氏は15日に、CNET News.comの姉妹サイトであるZDNet UKに対して、「ARCserveは本質的に安全性に問題がある」と語った。同氏は「この製品は、不十分な設計に基づいた不十分なコードとなっている。製品をリリースする前に、内部のコードレビューにおいて、修正すべきコードの問題を洗い出しておくべきだった」と述べている。

　CAは、ZDNet UKに対する声明のなかで、同社の品質保証手順を強化しているところだと述べた。

　CAは声明のなかで「CAはソフトウェアのセキュリティというものを非常に真剣に捉えている」と述べるとともに、「CAは、脆弱性が発生しないようにするとともに、積極的に脆弱性を洗い出し、対策を講じるべく常に努力している。われわれは自社のソフトウェアの品質を確保するために厳格な手段を講じており、今後もこういった手段を強化していく」と述べている。

　Secuniaによると、アンチウィルス機能と暗号化機能を組み込んだCAのデータ保護製品であるARCserve Backupは、2007年6月に複数の脆弱性があると報告されていたという。Secuniaのアドバイザリによると、こういった脆弱性には、攻撃者にシステムへの侵入を許すスタックベースのバッファオーバーフローが可能となる脆弱性も含まれていたという。

　Secuniaは、こういった脆弱性がCAに報告され、コードの問題のいくつかを修正するパッチがCAによってリリースされたと述べている。

　しかし、「Secunia 2007 Report」（PDFファイル）によると、Secuniaの技術者らがパッチ適用済みの製品を分析したところ、約60にのぼる報告済みの脆弱性が依然として存在していることが明らかになったという。

　Secuniaはその分析のなかで、こういった脆弱性の一部は製品のコード自体の性質に起因するものであり、脆弱性はいまだに残っていると主張している。

　報告書には「コードが見直されない限り、この製品は類似の脆弱性を突かれる危険を抱えたままとなる」と記述されている。