「Minecraft」に放置された脆弱性？ 発見者が攻撃実証コードを公開

[鈴木聖子，ITmedia]

脆弱性報告者が公開した解説サイト

　人気ものづくりゲーム「Minecraft」に、細工を施したパケットを送り付けてサーバをクラッシュさせることができてしまう脆弱性が見つかったとして、発見者が自身のブログで4月16日に詳しい内容を公開した。開発元のMojangに2年近く前に報告したにもかかわらず、一向に問題が修正されなかったと訴えている。

　発見者のプログラマー、“Ammar Askar”氏のブログによると、Minecraftの仕組みを調べている際に、特定の細工を施したパケットを送り付けることによってサーバのメモリを消費し尽くさせ、クラッシュさせることができてしまう問題を発見した。

　脆弱性は、クライアントがサーバに対して特定のスロットに関する情報を送信できることや、NBTフォーマットに関する問題が組み合わさって存在しているという。Askar氏はGithubでコンセプト実証コードも公開した。

　同氏は2013年7月10日、開発元のMojangにこの問題を報告したが、その後対応状況を問い合わせても、「無視されるか、到底満足できない答えしか返ってこなかった」という。報告した当時のバージョンは1.6.2。現在の1.8.3に至るまで、この脆弱性は解決されないまま放置されているとAskar氏は主張する。

　同氏のブログの更新情報によれば、情報を公開したことによってMojangとの接触が可能になり、同社が対応に当たっていることを確認したという。「Mojangはこの問題を解決しようとしたが、私が提供したコンセプト実証コードに対するテストを行わなかったために、依然として同コードでサーバがクラッシュする状態が続いている」と同氏は報告している。