コード盗用に脆弱性――中国フィルタリングソフトの問題、米研究者が指摘

中国政府がPCへのプリインストールを義務付けているフィルタリングソフトに、重大な脆弱性や、米国産ソフトのコードが含まれていることが明らかになった。

» 2009年06月15日 11時31分 公開
[ITmedia]

 中国政府は7月1日から、国内で販売されるPCにフィルタリングソフトをプリインストールするよう義務付けているが、このソフトに幾つかの問題があると指摘されている。

 米ミシガン大学のスコット・ウォルチョク氏、ランディ・ヤオ氏、アレックス・ホルダーマン氏らは6月11日、問題のフィルタリングソフト「Green Dam」を分析した結果を公表した。このソフトは中国のJin Huiという企業が開発したもので、インターネットからダウンロードできる。研究者らはバージョン3.17を調べた。

Green Damのスクリーンショット

 Green Damはブラックリスト方式でWebサイトをブロックし、画像認識技術を使ってヌードと思われる画像を遮断する。また、ほかのアプリケーションのテキスト入力フィールドをスキャンし、ブラックリストにある単語を含んでいるかどうかをチェックする。中国政府が「主な遮断対象はポルノ」と主張している通り、ブラックリストには「熟女」「人妻」などの単語が並ぶが、「法輪功」「天安門虐殺」などの政治的なキーワードも含まれている。

セキュリティ脆弱性

 ミシガン大学の研究者らはGreen Damの大きな問題として、2つのセキュリティ脆弱性を指摘している。

 1つ目は、URLリクエスト処理のプロセスにバッファオーバーランの脆弱性があるという問題。特殊な細工を施したWebページを使って、ユーザーのシステムを乗っ取ることが可能になるという。2つ目はブラックリスト更新プロセスの問題で、Green Damの開発元、あるいは開発元を装った第三者がユーザーのシステムで任意のコードを実行できるというもの。

 研究者らはこれらの問題を12時間足らずのテストで見つけたとしており、発見された問題は氷山の一角かもしれないと指摘している。Green Damでは安全ではない古いプログラミング慣行が多用されており、ほかにも脆弱性がある可能性が高いという。最も確実な安全対策はGreen Damをアンインストールすることだと、研究者らは述べている。

コードの盗用

 また研究者らは、Green Damのブラックリストの多くが、米国のフィルタリングソフト「CyberSitter」から盗用されたものであることも発見した。

 Wall Street Journalによると、CyberSitterの開発元Solid Oak Softwareも盗用を確認したという。同社は6月12日、Green DamにCyberSitterのコードの一部が含まれていることを発見したと発表し、同ソフトを搭載したコンピュータの出荷を差し止める裁判所命令を求める意向を明らかにした。Jinhuiは盗用を否定しているという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ