セキュリティ製品の脆弱性を迷惑メール送信に利用、McAfeeがパッチ提供開始

[鈴木聖子，ITmedia]

　米McAfeeのホスティング型マルウェア対策サービス「McAfee SaaS for Total Protection」の脆弱性が原因で、顧客のコンピュータが迷惑メールの中継に利用されていたことが分かった。同社は1月18日付のブログで対処を表明している。

　同社によると、McAfee SaaS for Total Protectionには2件の脆弱性が発覚した。このうち1件では、攻撃者がActiveXコントロールを悪用してコードを実行できてしまう恐れがあるという。ただ、実質的な対策は既に講じられており、顧客の情報が直接危険にさらされる恐れはないとした。

　迷惑メールの中継に利用されていたのはもう1件の脆弱性だという。この問題ではスパム業者がMcAfeeの「rumor」技術を悪用して、ユーザーのマシンからスパムを送信できる状態になっていた。この結果、影響を受けたマシンから送信されるメールの量が急増するものの、マシンのデータにアクセスされる恐れはないと同社は強調している。

　McAfeeは19日までに、この問題を解決するためのパッチの提供を開始した。SaaSサービスであることからパッチは自動的に配信される。