　ソニーの指紋認証機能付きUSBメモリにおいてrootkit的な技術を利用して隠しファイルがインストールされる問題について、情報処理推進機構（IPA）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は9月7日、「ソニー製指紋認証機能つき『ポケットビット』付属ソフトウェアにおける脆弱性」として情報をJVNに公開した。

　この脆弱性の問題は、ソニー製USBメモリに付属するソフトウェアが、指紋認証に利用するデバイスドライバを隠すためにrootkit的な隠し技術を使ってWindows APIから不可視のディレクトリやファイルを作ることにある。マルウェアの作者がこの仕組みを利用して、Windowsシステムからマルウェアを見えないようにすることもできてしまう。8月末からF-Secureなどのセキュリティベンダーが脆弱性を指摘していた。

F-Secureなどのセキュリティ企業がUSBメモリの脆弱性を指摘

　この問題の影響を受ける可能性のある製品は、USBメモリ「ポケットビット」シリーズのうち指紋認証機能の付いた「USM128F」「USM512FL」、および海外でのみ発売の「USM64C」「USM128C」「USM256F」「USM512FL」（製品名「MicroVault」シリーズ）で、いずれも現時点で生産は終了している。隠しファイル／ディレクトリを作る付属ソフトウェアは台湾のFineArt Technology社が開発したもので、製品名は「ファイル＆フォルダ・セキュリティ」。

　同日、ソニーもポケットビット付属ソフトの脆弱性について、ホームページ上で情報を公開した。情報によると、問題への対処として、同社は脆弱性を修正した新しいファイル＆フォルダ・セキュリティを9月下旬までに用意、ホームページ上で公開するとしている。なお、具体的にどのような修正が行われるのかは明らかにされていない。

　同社は、修正ソフトを提供するまでの間、不安を感じるユーザーには、ファイル＆フォルダ・セキュリティをアンインストールするよう推奨している。併せて「本脆弱性の問題を真摯に受け止め、製品の安全性向上により一層の努力を重ねていく」とコメントしている。