ニュース
2004/03/26 12:26 更新


Norton Internet Securityの脆弱性修正パッチにローカライズのタイムラグ

Norton Internet Security 2004とNorton Antispam 2004に深刻な脆弱性が発見されてから約1週間。英語版パッチが提供される一方で、日本語版の修正は4月以降になるという。

 シマンテックのウイルス対策/パーソナルファイアウォールソフト「Norton Internet Security 2004」とスパム対策ソフト「Norton Antispam 2004」にそれぞれ、Webブラウザを通じて任意のコードを実行させることも可能な深刻な脆弱性が存在することを警告したアドバイザリ(NGSSoftwareその1NGSSoftwareその2Symantec)が公開されてから1週間が経つ。

 この2つの問題はパッチの提供によって解決済みだ。ただそれは英語版でのこと。シマンテックの情報によると、日本語版を利用している国内のユーザーがパッチを入手できるようになるのは4月上旬以降という。それまでの間日本語版のユーザーは、結果的には、脆弱性情報が公開されていながら解決策がないゼロデイ状態に置かれていることになる。

 シマンテック日本法人が公開している情報によると、Norton Internet Security 2004のパッチは4月2日に、またNorton AntiSpam 2004用の修正パッチは4月14日に、それぞれLiveUpdateを通じて提供されるという。また同社では、この脆弱性に関する特別窓口を設け、電話での問い合わせや質問に応じるとしている。

 ただ、4月にパッチが提供されるまで、少なくともまだ1週間の“空白”が生じる。その間、この脆弱性を悪用する攻撃からどうやって身を守るかの代替策は、Web上では紹介されていない。ITmediaからの問い合わせに対しても、同社の回答は「現時点で公表できる情報は、Web上の情報がすべて」というものだった。

 一方で、この脆弱性の危険性は高く、警戒に値すると警告する声もある。

 セキュリティ企業ラックのコンピュータセキュリティ研究所(CSL)は3月24日、Norton Internet Security 2004とNorton AntiSpam 2004の問題が日本語環境でも再現可能であることを検証し、報告書を公開した。この2つの問題は、それぞれの製品が提供しているActiveXコンポーネントに起因する。リモートにいる攻撃者がユーザーを誘導し、Webブラウザで悪意あるコンテンツを閲覧させることによって攻撃が成立するという仕組みだ。

 問題の再現に当たった同社の新井悠氏のコメントによると、「問題の検証を始めてから、それぞれ10分後には再現できた」という。これを踏まえれば、攻撃者による悪用もまた容易であると想像できる。

 同じく先週金曜日には、インターネット セキュリティ システムズ(ISS)の不正侵入検知システム「RealSecure」、パーソナルファイアウォール「BlackICE」、IDSアプライアンスの「Proventia」など、同社の広範な製品に、任意のコードの実行も可能な深刻な脆弱性が発見された(4月22日の記事参照)。そしてその翌日には、この脆弱性を狙ったワーム「Witty」が登場した。このワームはあっという間に収束した(4月23日の記事参照)ものの、インターネットのトラフィックに影響を及ぼした。

 新井氏によると、ISS製品の脆弱性と、設計/仕様に起因する今回のシマンテック製品の脆弱性とは性質が異なる。また、今後のワーム/ウイルス発生についても、さまざまな可能性があるため今の時点では何ともいえない。とは言うものの、警戒するに越したことはないだろう。

 問題の回避策として同氏は、Webブラウザ(Internet Explorer)の設定を変更し、ActiveXコントロールおよびアクティブスクリプトに関連する項目をすべて無効にすることが挙げられるとしている。しかしながら実際にこうした設定を取ると、ブラウジング能力に大きく影響を与えることから、一般的には受け入れがたいのも事実だろうという。

 今のところシマンテックのWebページでは、「OSおよびアプリケーションに対する最新パッチの適用」「メールで届く不審な添付ファイルや実行形式ファイルへの注意」「未知あるいは信頼できないWebサイトを訪問する際の注意」といったごく一般的なセキュリティ対応が呼びかけられている(なお推奨すべき対策の1つとして「最低限でも、パーソナル・ファイアウォールおよびウイルス対策アプリケーションの両方を実行し、かつ、それらを常に最新の状態に維持するよう努めてください」とも記されているが、残念ながら今はこれが実行できない状態だ)。

 なお新井氏は、シマンテックがきちんと情報公開をしている姿勢は評価できると指摘。一方で、ソフトウェアのローカライズにともなって生じるタイムラグ――かつてMicrosoftとマイクロソフト日本法人との間にも存在した――という意味で、ベンダーはソフトウェアの品質管理に頭を悩ませているのではともコメントしている。

関連リンク
▼シマンテック:Symantec Norton Internet Security/Norton AntiSpam にリモートアクセスの脆弱性
▼ラック:SNS Spiffy Reviews No.9
関連記事
▼Norton Internet Securityに脆弱性

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.