Microsoft DefenderとKaspersky EDRにリモートからのファイル削除を可能とする脆弱性が見つかった。この問題はセキュリティソフトウェアのマルウェア検出機能が悪用されている他、問題の完全な解決は困難だと研究者は指摘している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
英国のITニュースメディア「The Register」は2024年4月22日(現地時間)、「Microsoft Defender」と「Kaspersky Endpoint Detection and Response」(Kaspersky EDR)に重大な脆弱(ぜいじゃく)性が存在すると報じた。
シンガポールで開催された「Black Hat Asia」カンファレンスでセキュリティベンダーのSafeBreachが発表した。この脆弱性を悪用されると、セキュリティソフトウェアのマルウェア検出機能を使って遠隔地からファイルを削除される可能性があるという。
これらの製品はファイルにおける特定のバイトシグネチャ(ヘッダ内のバイト列)をスキャンしてマルウェアを検出する。この検出機能が悪用され、正規のファイルのバイトシグネチャを追加することで間違って悪意のあるものとして認識され削除されてしまう。
この脆弱性はMicrosoftとKasperskyに既に報告済みだという。Microsoftは脆弱性に対してパッチをリリースしたが、研究者の調査によると、後のテストでこのパッチを回避する方法が発見され、問題の完全な解決には至っていないという。Kasperskyがリリースしたパッチについては緩和策が機能していることが報告されている。ただし、Kasperskyの対応も完全にこの脆弱性を防ぐ保証はないという。
研究者は「セキュリティシステムがバイトシグネチャによるマルウェア検出に依存している限り、この脆弱性を解消することは困難だ」と主張している。セキュリティパッチが万能薬とはならず、他のセキュリティ層による保護が必要であると研究者たちは強調している。
Copyright © ITmedia, Inc. All Rights Reserved.