フィッシング対策ツール「nProtect Netizen」に脆弱性、アップデートで修正

[ITmedia]

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）が運営しているJVN（JP Vendor Status Notes）は4月25日、フィッシング対策のためのセキュリティツール「nProtect Netizen」に複数の脆弱性が存在するとし、情報を公開した。

　nProtect Netizenは、インカ・インターネットが開発したセキュリティツール。Web経由で侵入を試みるウイルスなどの侵入を防ぐほか、ユーザーがアクセスしようとしているサイトが正規のサイトであるかを判別するフィッシング詐欺対策機能を備えている。既に東京スター銀行やUFJカードなどの金融機関が導入済みだ。

　今回発見された脆弱性は、起動時に行われるアップデートファイルの確認およびダウンロード時の処理に存在する。アップデートファイルの確認先のURLを不正に変更することが可能であり、悪意ある第三者が用意したWebサイトに誘導され、不正なファイルをダウンロードさせられたり、Internet Explorerを強制的に終了させられる可能性があるという。

　開発元では25日付けで、設定ファイルの暗号化やデジタル認証による整合性チェック、URL文字列のエスケープ処理といった対処を施すためのアップデートを公開した。対処が販売元であるメトロおよびネットムーブでも、この問題に関する情報を公開し、ユーザーにアップデートを呼びかけている。