IMアプリケーション「Trillian」に脆弱性--研究者らが報告

　インスタントメッセージング（IM）アプリケーション「Trillian」における脆弱性が研究者らによって報告された。研究者らは、IM関連のセキュリティに対する脅威が急速に拡大していることも、あわせて指摘した。

　LogicLibraryの研究者らは、Cerulean Studios製IMクライアントTrillianが潜在的に持つ脆弱性を発見したと報告した。LogicLibraryは各種ソフトウェア開発ツールを作成しているベンダーで、製品のなかにはアプリケーションのバグを試験段階で発見するプログラムも含まれる。

　LogicLibraryによると、攻撃者はこの脆弱性を悪用することで、Trillianを実行するコンピュータ上で稼働しているプログラムを終了させたり、オペレーティングシステムを完全にコントロールしたりするなど、あらゆる操作が可能になるという。

　Trillianは、America Online、Microsoft、 Yahooなどの複数プロバイダが提供しているIMクライアントからの接続を1つのインターフェースで扱うことを可能にする。このソフトウェアの脆弱性についてLogicLibraryは、最新版であるTrillian3.1におけるバッファオーバーフロー問題が主な原因となっていることを述べた。LogicLibraryによると、この問題は、このIMソフトウェアのTrillian2.0リリースでLogicLibraryが最初に発見し、Ceruleanに報告をしている脆弱性から派生しているという。

　LogicLibraryは、2003年から問題に関してCeruleanと連絡を取り合ってきたが、新しいバージョンのTrillianではソフトウェアの脆弱性が完全に除去されていなかったようだと述べる。LogicLibraryでは、Trillian2.0を脆弱にしていたのと同じコードがTrillian3.1に直接コピーされていると考えている。

　LogicLibraryの関係者は、この脆弱性を悪用するように設計された攻撃について、実例はまだ報告されていないと述べた。

　Ceruleanの共同設立者Scott Werndorferは、バッファに関連したこの脆弱性によるリスクは「非常に低い」と語った。News.com宛に米国時間25日に送付されたメールでWerndorferは、攻撃者がTrillianユーザーに攻撃を仕掛けるためには、その目的のためだけに偽のIMソフトウェアクライアントを作成する必要があると述べた。さらに、攻撃者が脆弱性を利用するためには、自作のクライアントからのメッセージリクエストをユーザーが受け付ける必要があると続けた。

　LogicLibraryは、Trillianの脆弱性に関する報告とともに、急激に拡大している懸念についても指摘している。電子メールシステムにおける対策が成熟しているため、ハッカーやウイルス製作者はIMを標的にし始めている。2005年に入ってから、様々なIMアプリケーションを標的とした脅威が出現しており、その数は10件を上回る。また、その一部においては攻撃の仕組みが精巧になってきている。