セキュリティ専門家、「CAとVista」の脆弱性を指摘

専門家はこの問題を受け、アプリケーションベンダーがVistaのセキュリティ機能に自社製品を組み込まない限り、同OSのマルウェア防御ツールを活用できないと指摘している。

[Matt Hines，eWEEK]

　ペネトレーションテストソフトメーカーCore Securityの脆弱性研究者は、CAのバックアップソフト「BrightStor」の有名な既存の脆弱性が、同ソフトをWindows Vistaで実行している時に悪用可能であり、宣伝されている同OSのセキュリティ機能の目的を実質的に破ったと主張している。

　Coreの担当者は、RSA Conferenceでこの欠陥を発表した。Microsoftのビル・ゲイツ会長の基調講演直前のことだった。この問題は、サードパーティーのアプリケーションベンダーがVistaのセキュリティ機能に自社製品を組み込まない限り、同OSのマルウェア防御ツールを活用できないという事実を浮き彫りにしているとCoreの担当者は言う。

　Coreは、以前に発見されたCAのBrightStor ARCserve Backupの脆弱性「CVE-2007-0169」を悪用してVista搭載システムを乗っ取ることができると主張する。

　同ソフトのバージョン9.01〜11.5のバッファオーバーフローの脆弱性をEnterprise Backup 10.5、CA Server/Business Protection Suite r2と併用すると、攻撃者はコンピュータ上でリモートから任意のコードを実行でき、またほかのシステムにアクセスできる可能性もあるという。

　この脆弱性を悪用した攻撃を仕掛けるには、Windows XPおよび2000を搭載したシステムで同じ問題を悪用するための攻撃コードをわずかに変えるだけでいいとCoreは主張する。

　CAは既に、ユーザーがこのセキュリティホールを修正できるパッチを提供している。

　Microsoftが宣伝しているVistaの最も重要なメリットの1つが、多数のセキュリティ機能だ。同OSのより強固なカーネル保護、内蔵マルウェア対策ツール、User Account Control（UAC）システム――ウイルスが感染したマシン上で権限を昇格させるのを防ぎ、ほかのデバイスに感染を広げるのを防止する――をうたっている。

　しかし、CAなどのアプリケーションベンダーがこうした機能を統合していなければ、BrightStorのように、これらのツールは容易に回避できるとCoreの製品管理ディレクター、マックス・カセレス氏は語った。この問題の一部は、Vistaのセキュリティ保護を利用する製品の構築が容易ではないからだと同氏は言う。

　「アプリケーションベンダーは、自社製品が確実にVistaのセキュリティ機能を活用するよう――彼らはデフォルトでは統合していない――熱心に取り組む必要がある。開発者が必要な調整を行わない限り、彼らの製品はWindows XPと同じ問題にさらされ続ける。われわれが発見した脆弱性は、たとえ企業がVistaを利用していても、たやすくサードパーティーの欠陥にさらされることがあるということを示している」（同氏）

　今回のCAの脆弱性は具体的には、バッファオーバーフロー攻撃を防止するためのVistaのALSR（Address Space Layout Randomization）技術を回避する。この手法はオープンソースソフトをセキュアにする開発者が広く利用している。

　ほとんどの独立系ソフトベンダーが自社製品をVistaに移植しているが、この機能を活用するにはプログラムの幾つかのセクションを完全に書き直す必要があるとCoreは主張する。

　Microsoftの担当者にVistaとBrightStorの脆弱性についてコメントを求めたが、回答は得られていない。ただしCAの広報担当者はCoreの報告に異議を唱え、この情報は「誤解を招く」ものであるとし、同社はVistaで問題の製品を走らせないように顧客に指示していると指摘した。

　「CAはさまざまな構成で自社製品をテスト、認定している」と同社担当者は声明文で述べている。「Coreは、IT部門がCA製品の特定のバージョンを使った場合に起きる可能性があるいわゆるセキュリティ脆弱性に触れているが、これはまさに、顧客がVistaでこれらのバージョンを使うことをCAが指定していない理由だ」

　CAは、Vista向けのBrightStor ARCserve Backup（ARCserve Backup r11.5 SP3）の最初の一般リリースは数週間以内だとしている。これにはCoreが報告した脆弱性のパッチも含まれるという。

原文へのリンク