64ビット版Windows Vistaが売りにしているセキュリティ機能をかいくぐり、署名のないドライバをVistaにロードできてしまうツールが出現したと、米Symantecがブログで報告した。
Symantecによると、64ビット版のWindows Vistaでは、rootkitに使われる悪質なカーネルドライバをかわすため、署名のないコードをカーネルにロードできないようになっている。
しかしオーストラリアのLinchpin Labs & OSRが提供しているツール「Atsiv」は、署名のある32ビットおよび64ビットドライバを使い、まず適切なドライバをロードした後に、署名のないドライバをロードする仕組みになっているという。
同ツールの作者はrootkit.comへの投稿の中で、署名ドライバでは合法的に登記された任意の会社の署名を使うことができるという問題を提起。ドライバの実際の内容について何のコントロールもない状態で、セキュリティが強化されることにはならないと指摘している。
Symantecはこれを受け、署名ドライバを使った悪質コードがロードされるリスクをかわすために、Microsoftは署名認証を取り消さなければならなくなるだろうと解説。しかも作者が指摘しているように、誰かが別の会社を登記し署名認証を取得すれば、また同じプロセスが繰り返されることになる。
いずれにしても、使いやすさとセキュリティ上の必要性のバランスを取るのは難しいとSymantecは結んでいる。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR