Windowsのレジストリに問題発覚--悪質なソフトウェアが検知不可能に

　Windows PCで、過度に長いレジストリキーを使用して悪質なソフトウェアを隠せてしまう問題について、セキュリティ専門家らが注意を呼びかけている。

　セキュリティベンダーのStillSecure（本社：コロラド州ルイビル）によると、ウイルス／スパイウェア対策製品のなかには、レジストリをスキャンして悪質なプログラムを見つけだすものがあるが、新たに見つかったこの欠陥を悪用すれば、それらのアプリケーションを隠すことが可能になるという。

　StillSecureのCTO（最高技術責任者）Mitchell Ashleyは、「この問題を悪用して、悪質なプログラムをシステム内に隠せば、セキュリティソフトウェアやレジストリスキャンツールでは見つけられないだろう」と述べている。StillSecureによると、検知や除去は困難あるいは不可能だという。

　インターネットに対する脅威を追跡調査するSANS Internet Storm Centerは、長いレジストリキーを使うことでだませるアプリケーションの一覧を米国時間25日に公表した。このなかには、AdAware、MicrosoftのWindows AntiSpyware、HijackThis、Norton SystemWorks 2003 Pro、MicrosoftのWindows Registry Editor、WinDoctorなどが含まれている。

　SANSアソシエイトのRobert Danfordは、「手元のシステムのセキュリティに盲点がないかどうかを把握しておくことが重要だ。今は数週間以内に登場する製品アップデートに注意することだ」とSANS ISCウェブサイトに書いている。DanfordはStillSecureのセキュリティ警告チームにも所属している。

　この問題に関連して最も懸念されるのは、レジストリの「run」キーと呼ばれるものだ。これらのキーは、Windows PCの起動時にアプリケーションの立ち上げに利用される。StillSecureのAshleyによると、MicrosoftのRegistry Editorや、複数の人気の高いセキュリティプログラムは、過度に長いWindowsレジストリ項目を認識しないという。

　「スパイウェアのプログラマーは、このテクニックを使って、かなり容易にマシンにキーロガーを隠せる」（Ashley）

　Microsoftの関係者は米国時間26日付けの電子メールによる声明のなかで、同社がこの問題を調査中であることを明らかにした。同社によると、攻撃者が何かを隠すには、まず最初にシステムに侵入しなくてはならないという。

　「この問題によって、攻撃者がリモートもしくはローカルで、ユーザーのコンピュータを攻撃することが可能になるわけではない。むしろ、攻撃者は先にコンピュータに危害を加えるか、ユーザーをだまして悪質なソフトウェアを実行させなくてはならない」（Microsoft関係者）

　同社によると、この問題はセキュリティ脆弱性にはあたらず、悪用される可能性のあるOSの機能の1つに過ぎないという。同社では、ソフトウェアの存在を隠すために、この問題が悪用されたケースについてはまだ報告を受けていないと述べている。

　なお、セキュリティ監視企業のSecuniaではこの問題を「重要ではない（"not critical'）」に分類している。また、フランスのFrench Security Incident Response Teamでも、この問題を「ローリスク（"low risk"）」としている。