ウイルスバスター2009に一部パスワードが暗号化されない脆弱性

トレンドマイクロの「ウイルスバスター2009」に、パスワードの一部が暗号化されない脆弱性が確認された。部分的に平文のまま漏えいする可能性がある。

[國谷武史，ITmedia]

　情報処理推進機構とJPCERT コーディネーションセンターは5月17日、トレンドマイクロのセキュリティ対策ソフト「ウイルスバスター2009」にパスワードの一部が暗号化されない脆弱性が見つかったとして、Japan Vulnerability Notes（JVN）に情報を公開した。

　JVNによると、脆弱性はウイルスバスター2009に付属するTrend ツールバーの「キー入力暗号化機能」に存在する。本来は暗号化されるべきパスワード入力の一部が暗号化されずに平文のままになってしまう。キーロガーなどの不正プログラムで入力情報が窃取されれば、パスワード情報が部分的に平文のまま漏えいする可能性がある。

　トレンドマイクロは、ウイルスバスター2010以降の製品ではTrend ツールバーに別のモジュールを使用しているため、この問題の影響を受けないとしている。ウイルスバスター2009の製品サポートは既に終了しており、同社ではユーザーにウイルスバスター2010以降の製品を利用するよう呼び掛けている。