中国政府指定の検閲ソフトにセキュリティ脆弱性--米大学研究チームが警告

文:Tom Espiner(CNET News) 翻訳校正:編集部2009年06月15日 11時28分
  • このエントリーをはてなブックマークに追加

 中国政府の検閲ソフトウェアには、巨大なボットネットを構築するハッカーに悪用される恐れのあるセキュリティ脆弱性が含まれている、と専門家は警告する。

 ミシガン大学の専門家によると、脆弱性の根本的な原因は「Green Dam Youth Escort」ソフトウェアにあるという。中国工業情報化部は現地時間6月9日、中国で発売されるすべての新品コンピュータにGreen Damをプレインストールすることを義務付ける、と述べた。

 「Green Damをインストールしてしまうと、ユーザーの訪問先となるウェブサイトは、これらの脆弱性を突いて、コンピュータを乗っ取れるようになる」と同大学の研究チームは書いた。「これにより、悪意のあるサイトは、個人データの窃盗やスパムの送信、コンピュータのボットネットへの追加などを実行することが可能になる」(研究チーム)。この警告は、Scott Wolchok氏とRandy Yao氏、J. Alex Halderman氏が米国時間6月11日に発表した論文に掲載された。

 Green Damソフトウェアは、URLやウェブサイトの画像をブロックしたり、ほかのアプリケーションのテキストを監視したりすることで、コンテンツをフィルタリングする。フィルタリング用のブラックリストには、政治的なコンテンツとアダルトコンテンツの両方が含まれている。

 研究チームによると、彼らはGreen Damを1日テストしただけで、ウェブサイトの要求を処理するコード中にプログラミングエラーがあることを発見したという。そのエラーにより、同ソフトウェアを実行するすべてのコンピュータ上で、バッファオーバーラン状態が発生する、と彼らは述べた。

 「このコードは、固定長バッファを持つURLを処理する。そして、特別に生成されたURLは、このバッファをオーバーランさせて、実行スタックにエラーを発生させることができる」と研究チームは述べた。「ユーザーの訪れるあらゆるウェブサイトが、悪意のあるURLを持つページにブラウザをリダイレクトし、コンピュータを乗っ取ることが可能だ」(研究チーム)

 研究チームは、脆弱性の存在を示す概念実証プログラムを構築した。研究チームによれば、そのプログラムを使えば、Green Damを実行しているコンピュータは必ずクラッシュするという。

 さらに、Green Damは、ブラックリストの脆弱性を突くことにより、コンピュータ上にほかのプログラムをインストールする目的にも利用可能だ。この脆弱性により、Green Damのメーカーだけでなく、彼らになりすましたサードパーティーも、フィルタアップデートをインストールした後で、任意のコードを実行し、ユーザーのコンピュータに悪意あるソフトウェアをインストールすることができてしまう。

 中国国営の新華社通信の報道によれば、Green Damの開発元であるJinhui Computer System Engineeringは、同ソフトウェアはスパイウェアではないと述べたという。「私たちのソフトウェアは単なるフィルタであり、インターネットユーザーをこっそり監視することなどできない」とのJinhuiの発言が引用されている。

 新華社通信の記事は、フィルタ自体を使ってスパイウェアをアップロードすることが可能なのかどうかには触れていない。

 ミシガン大学の研究チームは、Green Damを実行している人に対し、同ソフトウェアを即刻アンインストールするよう勧めている。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ

  • このエントリーをはてなブックマークに追加