ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

ソニー製USBメモリのrootkit的動作、隠しディレクトリで悪用の恐れ

» 2007年08月29日 11時50分 公開
[ITmedia]

 ソニーのUSBメモリでrootkit的ソフトがインストールされると指摘されたことについて、McAfeeも8月28日のブログでこの問題を確認、マルウェアに悪用される可能性があると報告した。

 McAfeeによると、ソニーのMicroVault USBメモリに組み込まれている「Fingerprint Access」ソフトは、Fineart Technologyが開発したプログラムとデバイスドライバを使っている。Fineartのデバイスドライバは、既存のドライバスタックの上にファイルシステムフィルタドライバとしてインストールされ、以後すべてのファイルシステム情報がこの新しいデバイスドライバ経由でフィルタされるようになり、どんなディレクトリやファイルでも簡単に隠すことができるようになる。

 この目的は、USBドライバの指紋認証機能に関連したファイルを隠すことにあると思われるが、作者はセキュリティのことは念頭に置いていなかったようだとMcAfeeは指摘する。問題のFineartの実行可能ファイルはどのディレクトリにでも置くことが可能で、これを実行すると全フォルダとファイルをそのディレクトリ内に隠すことができてしまうという。

画像 問題のプログラムを実行してWindowsシステムファイルが隠されてしまう様子をビデオで紹介(McAfeeより)

 McAfeeで実験的に、%windir%の中に問題のバイナリを置いて実行したところ、system32を含む全ファイルとサブディレクトリが隠され、ディレクトリ内のリソースにアクセスできなくなった。スタートメニューのRun(ファイル名を指定して実行)ダイアログ経由ではパスが解決できなくなり、メモ帳などの単純なユーティリティさえ実行できなくなったという。

 問題のバイナリは、デフォルトではwindirの下のディレクトリにインストールされる。しかし、マルウェア作者がこれを任意のディレクトリにコピーし、そこで実行させるのを食い止めることはできず、デフォルトのディレクトリの中にマルウェアを隠すことも可能だとMcAfeeは解説する。

 「ソニー製品でまたしても、機能を優先するあまり結果が予見できなかったのは悲しいことだ」とMcAfeeは結んでいる。

Copyright © ITmedia, Inc. All Rights Reserved.