中国政府の検閲ソフトウェアには、巨大なボットネットを構築するハッカーに悪用される恐れのあるセキュリティ脆弱性が含まれている、と専門家は警告する。
ミシガン大学の専門家によると、脆弱性の根本的な原因は「Green Dam Youth Escort」ソフトウェアにあるという。中国工業情報化部は現地時間6月9日、中国で発売されるすべての新品コンピュータにGreen Damをプレインストールすることを義務付ける、と述べた。
「Green Damをインストールしてしまうと、ユーザーの訪問先となるウェブサイトは、これらの脆弱性を突いて、コンピュータを乗っ取れるようになる」と同大学の研究チームは書いた。「これにより、悪意のあるサイトは、個人データの窃盗やスパムの送信、コンピュータのボットネットへの追加などを実行することが可能になる」(研究チーム)。この警告は、Scott Wolchok氏とRandy Yao氏、J. Alex Halderman氏が米国時間6月11日に発表した論文に掲載された。
Green Damソフトウェアは、URLやウェブサイトの画像をブロックしたり、ほかのアプリケーションのテキストを監視したりすることで、コンテンツをフィルタリングする。フィルタリング用のブラックリストには、政治的なコンテンツとアダルトコンテンツの両方が含まれている。
研究チームによると、彼らはGreen Damを1日テストしただけで、ウェブサイトの要求を処理するコード中にプログラミングエラーがあることを発見したという。そのエラーにより、同ソフトウェアを実行するすべてのコンピュータ上で、バッファオーバーラン状態が発生する、と彼らは述べた。
「このコードは、固定長バッファを持つURLを処理する。そして、特別に生成されたURLは、このバッファをオーバーランさせて、実行スタックにエラーを発生させることができる」と研究チームは述べた。「ユーザーの訪れるあらゆるウェブサイトが、悪意のあるURLを持つページにブラウザをリダイレクトし、コンピュータを乗っ取ることが可能だ」(研究チーム)
研究チームは、脆弱性の存在を示す概念実証プログラムを構築した。研究チームによれば、そのプログラムを使えば、Green Damを実行しているコンピュータは必ずクラッシュするという。
さらに、Green Damは、ブラックリストの脆弱性を突くことにより、コンピュータ上にほかのプログラムをインストールする目的にも利用可能だ。この脆弱性により、Green Damのメーカーだけでなく、彼らになりすましたサードパーティーも、フィルタアップデートをインストールした後で、任意のコードを実行し、ユーザーのコンピュータに悪意あるソフトウェアをインストールすることができてしまう。
中国国営の新華社通信の報道によれば、Green Damの開発元であるJinhui Computer System Engineeringは、同ソフトウェアはスパイウェアではないと述べたという。「私たちのソフトウェアは単なるフィルタであり、インターネットユーザーをこっそり監視することなどできない」とのJinhuiの発言が引用されている。
新華社通信の記事は、フィルタ自体を使ってスパイウェアをアップロードすることが可能なのかどうかには触れていない。
ミシガン大学の研究チームは、Green Damを実行している人に対し、同ソフトウェアを即刻アンインストールするよう勧めている。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス