セキュリティ版「紺屋の白袴」：シマンテックのオンラインサービスに脆弱性

　セキュリティソフトウェアメーカーの米Symantecは6月24日（米国時間）、同社のオンラインサービス、Security Checkに、ユーザーのPCにアタッカーの侵入を許す欠陥があることを発表した。

　Security Checkは、ユーザーがActiveXコントロールをダウンロードして、マシンのスキャンを行うことで、マシンの保護を実現するもの。しかし、スキャンのためにダウンロードされたActiveXは、メモリ上に残ることになり、これが侵入者の攻撃の礎となる可能性があるという。

　現時点で同社は、問題となるActiveXコンポーネント「Symantec RuFSI Utility Class」「Symantec RuFSI Registry Information Class」の2つを新しいものに書き換え、サイト上にアップしている。

　「Symantec Security Checkサイトを最近訪れたことのあるユーザーは、再度サイトに来て、新しいスキャンプログラムを走らせてほしい」と、同社はコメントしている。

　今回の警告は、ある個人のセキュリティ専門家がFull Disclosureというセキュリティ情報開示リストの中で欠陥を指摘した2日後に発表さえれた。

　「これは実に奇妙な話だ」と発見者のCesar Cerrudoは記す。「Symantecはユーザーを保護しようとしつつ、ユーザーのマシン内に危険をもたらすActiveXコントロールを導入しようとしている」

　CerrudoはSymantecに対して警告を行うこともしなかったし、通常セキュリティ脆弱性の修正にかかる30日間の猶予期間さえ与えることもしなかったという。「私は30日間の猶予期間のこと、そしてそれを報告することさえ忘れたいた」と、Cerrudoはレポートの中でスマイルマークで文章を締めつつ報告している。

　Symantecは、事前警告がなかったことに不満を抱いている。「今回のように、多くのセキュリティコミュニティが早過ぎる情報開示を行うことによって、インターネット上に深刻な脅威を巻き起こす可能性がある。そんな情報開示はやめるべきだ」

　同社は、Security Checkサイトをもうこれ以上利用したくないユーザーのために、マシンからActiveXコンポーネントを除去するツールを公開している。

　だが、Symantecの問題はまだ終わっていないかもしれない。

　別のセキュリティ専門家は、今回のSecurity Checkに限らず、ActiveXコントロール全般が問題となるケースを指摘する。セキュリティ会社@Stakeで調査開発担当ディレクターを努めるChris Wysopalは、パッチを適用したソフトウェアを導入していないPCに対しては、アタッカーが問題を引き起こすActiveXコントロールを容易に配置できるというのだ。

　「攻撃者はサイト上に問題となるActiveXコントロールを配置する。ユーザーがそのサイトへの接続を試みたとき、ActiveXは自動的にダウンロードされることになるだろう」というのがWysopalが指摘する問題だ。

　Wysopalは、それを回避するために、Internet Explorerがデフォルト設定状態で、ユーザーに対してActiveXコンポーネントをダウンロードするかを逐一ダイアログボックスで確認すべきだと提案する。ダイアログボックスでは、そのActiveXコントロールがSymantecによって認められたものであることを示せばいい。

　「ダイアログボックスの説明で『Symantecによって認証されたActiveXコントロールをダウンロードしますか？』としておけば、多くの人々はそれに従うだろう」