antispamの日記 このページをアンテナに追加 RSSフィード

2005-04-25 トレンドマイクロの今回の不祥事で脆弱性が容易に生成されることがわ

 トレンドマイクロパターンファイル不具合CPUが100%近くまで占有される 01:21  トレンドマイクロ、パターンファイルに不具合。CPUが100%近くまで占有されるを含むブックマーク

ミイラ取りがミイラになった」とは良くいったものだ。今回のミスは人為的である。確認すべきところをしないでリリースされて全世界で被害が発生した。

土曜日とはいえ、日本時間の朝にマニラから配信された「魔」のパターンファイルは出社して電源をいれて立ち上げたPCを次々とハングさせてしまった。画面に気づかずにコーヒーを飲みながら新聞を読んでいた人は、仕事をはじめようとして画面を見て驚いたに違いない。

私は幸いなことに、その時間は前日までの疲れのためにぐっすりとベッドで眠っていた。これが一日早くずれていたら社内のヘルプデスクは対応に追われて必死であっただろう。土曜日休日出勤で出社して被害にあった人間の数が気になるところだが。

いや、まてよ。ServerProtectにこのパターンファイルが導入されていたら大変じゃないか!社内のファイルサーバが全く機能していない恐れがある。大変なことじゃないか。(もっと早く気づけよ、オレ)

CNETの記事によれば前バージョンの「2.592.00」を名称変更した「2.596.00」を23日の午前10時51分に、新たなウイルスなどに対応した新バージョンの「2.598.00」を24日午前8時35分にリリースしている。しかし、「2.594.00」がインストールされてからでは後の祭りだ。同社から駆除ツールもリリースされているが、まずは手動で復旧する手順を以下に記そう。

1.PC再起動。(再起動命令がきかないようであればCtl+Alt+Escキーを同時に押す)

2.再起動時にF8キーを押してセーフモードで起動する。

3.「マイコンピュータ」のアイコンを右クリックする。「管理」を選び「サービス」を選択。

4.「Trend Micro Central Control Component」(ウイルスバスター2005の場合)、「Trendmicro ServerProtect Service」(ServerProtect)等のサービスを停止する。

5.「C:\Program Files\Trend Micro\Virus Buster 2005\LPT$VPN.594」を任意のファイル名にリネームし「LPT$VPN.594」を無効にする。

6.サービス再起動

今回は「ダブルチェック体制の不備」が問題を引き起こしたとされている。つまり、パターンファイルリリースは今までは一度のチェックで済んでいたということか。随分と認識が甘いじゃないか。

私が注目する点はセキュリティ対策ソフトの種類でありながら、CPU100%による障害を簡単に引き起こせるほどの脆弱性がこのソフトにはあるということだ。あな恐ろしや。このようになる原因はよくわからないところはあるが。少なくともTrendMicroの商品は使い方によってはPC麻痺させてしまう攻撃ができることがわかった。

もしもだ。ウイルスバスターの機能の一つであるパターンファイルの取得先URLを何者かに書き換えられ、今回と似たようなケースの偽の攻撃ファイルを「パターンファイル」として配信されてしまえば、どのようになるのか。

今回の事件は新たなPCへの攻撃手段が発生する可能性が出てくるということで注目すべき事態である。

comikencomiken 2005/04/25 12:36 多分その辺をあつかったのではないかと思われるのが、高木さんの記事にあります。
http://takagi-hiromitsu.jp/diary/20050424.html#p01
今回は、正常に配布されたはずのファイルに問題があったというところで、第三者による攻撃の危険は証明書の確認でかなり軽減されると思います。

antispamantispam 2005/04/25 23:15 はじめまして。
私も今後、定期的なファイルの配信を伴うこれらのセキュリティソフトには電子署名による暗号化が必要であると考えています。
言うまでも無く、第3者によるアプリケーションの乗っ取りと不正配信という危険性を常にはらんでいることを頭にいれておくべきでしょう。

トラックバック - http://d.hatena.ne.jp/antispam/20050425/1114359696