中国政府は7月1日から、国内で販売されるPCにフィルタリングソフトをプリインストールするよう義務付けているが、このソフトに幾つかの問題があると指摘されている。
米ミシガン大学のスコット・ウォルチョク氏、ランディ・ヤオ氏、アレックス・ホルダーマン氏らは6月11日、問題のフィルタリングソフト「Green Dam」を分析した結果を公表した。このソフトは中国のJin Huiという企業が開発したもので、インターネットからダウンロードできる。研究者らはバージョン3.17を調べた。
Green Damはブラックリスト方式でWebサイトをブロックし、画像認識技術を使ってヌードと思われる画像を遮断する。また、ほかのアプリケーションのテキスト入力フィールドをスキャンし、ブラックリストにある単語を含んでいるかどうかをチェックする。中国政府が「主な遮断対象はポルノ」と主張している通り、ブラックリストには「熟女」「人妻」などの単語が並ぶが、「法輪功」「天安門虐殺」などの政治的なキーワードも含まれている。
ミシガン大学の研究者らはGreen Damの大きな問題として、2つのセキュリティ脆弱性を指摘している。
1つ目は、URLリクエスト処理のプロセスにバッファオーバーランの脆弱性があるという問題。特殊な細工を施したWebページを使って、ユーザーのシステムを乗っ取ることが可能になるという。2つ目はブラックリスト更新プロセスの問題で、Green Damの開発元、あるいは開発元を装った第三者がユーザーのシステムで任意のコードを実行できるというもの。
研究者らはこれらの問題を12時間足らずのテストで見つけたとしており、発見された問題は氷山の一角かもしれないと指摘している。Green Damでは安全ではない古いプログラミング慣行が多用されており、ほかにも脆弱性がある可能性が高いという。最も確実な安全対策はGreen Damをアンインストールすることだと、研究者らは述べている。
また研究者らは、Green Damのブラックリストの多くが、米国のフィルタリングソフト「CyberSitter」から盗用されたものであることも発見した。
Wall Street Journalによると、CyberSitterの開発元Solid Oak Softwareも盗用を確認したという。同社は6月12日、Green DamにCyberSitterのコードの一部が含まれていることを発見したと発表し、同ソフトを搭載したコンピュータの出荷を差し止める裁判所命令を求める意向を明らかにした。Jinhuiは盗用を否定しているという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR