MicrosoftのWindows XPの不正コピー対策の武器には大きな穴がある。ただし、Windowsユーザーがセキュリティ攻撃を受ける危険性はない。
インドのセキュリティ研究者が、コンシューマーや小企業が正規ライセンスのWindows XPを利用しているかどうかチェックするMicrosoftの海賊対策プログラム「Windows Genuine Advantage(WGA)」に単純で簡単に悪用できる弱点を発見した。
個人の脆弱性研究者で不正プログラムのアナリストでもあるデバシス・モハンティ氏は、WGAのチェックを破り、違法コピーのWindows XPで使うためのキーコードを生成する方法を実証する詳細なデモを公開した。
同氏がこれを発見したのは、MicrosoftがWGAプログラムの義務づけに向け準備を進める中でのこと。
MicrosoftはこのプログラムをDownload Centerを介してテストしている。ユーザーはDownload Centerで、特定のソフトアップデート、パッチ、フィックスを取得する前に、Windows XPのチェックを受けるよう求められる。
ユーザーがチェックを拒否した場合でもダウンロードはできるが、夏からは正規のOSにしかアップデートが配布されなくなる。ただしセキュリティアップデートの場合、WGAが義務化された後でもチェックは不要だ。
Microsoftの広報担当者は5月23日、モハンティ氏の指摘を認めたが、この弱点が海賊版ソフトを抑えようとする同社の取り組みに現実的な脅威を与えるものではないと主張した。
「海賊版業者がこの対策を回避するためにたくさんの手法を試すであろうことは予想済みだ。故に今回の件は驚くことではない。これは、誰かがソフトをディスクに焼いて共有する海賊行為と違いはないと見なしている」とこの担当者は語った。
モハンティ氏によると、正規版Windows XPを持っている海賊業者は、WGAプログラムの間に簡単に「GenuineCheck.exe」ファイルを走らせてキーコードを生成できるという。「このキーコードは海賊版Windows XPを走らせているマシンで、WGAのチェックを回避するのに利用できる」
同氏はこのプログラムをだます方法を詳細に説明し、自身の実験では、海賊版を使っているマシンで約2カ月間アップデートを実行できているとしている。
Microsoftの広報担当者は、この抜け穴はWGAキーコードの再利用を可能にするものだと認めつつも、キーコードにはタイムスタンプが含まれており、短時間で使えなくなるため、広範な海賊行為につながる危険性は限られていると主張した。
「このコードはすぐに無効になる。アップデートは引き続き実行できるが、広範な窃盗を可能にすることはない。彼(モハンティ氏)は自分自身からWindows XPを盗めるが、コードは無効になったら再利用できない」と広報担当者はZiff Davis Internet Newsに語った。
この担当者はコードの有効期間は明らかにせず、またこの問題はWindowsユーザーを危険にさらすセキュリティ脆弱性を示すものではないと明言した。
「ソフトの違法コピーはますます高度になっている。WGAは、顧客がダウンロードを入手しやすくする必要性と、当社の知的財産を守ることのバランスをとろうとするものだと考えている」と広報担当者は付け加えた。
この担当者は、モハンティ氏が有名なセキュリティメーリングリストでデモを公開しても、WGAの仕組みを修正する計画はないと語った。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR