Symantec の法人向けセキュリティ製品に重大な脆弱性

企業のコンピュータはもとより、政府機関のコンピュータをも守っている Symantec の法人向けセキュリティソフトウェアに重大な脆弱性が見つかった。システムレベルの権限による任意コード実行を、攻撃者に許しかねない。

eEye Digital Security は24日、Symantec の複数製品に脆弱性があることを明らかにした。同社マーケティング担当副社長 Mike Puterbaugh 氏によると、この脆弱性は非常に深刻なもので、「ワームの活動に必要なものすべてが揃っている」という。

eEye のセキュリティ勧告では、同脆弱性の影響を受ける製品を『Symantec AntiVirus Corporate Edition 10.x』および『Symantec Client Security 3.x』としている。同社はシステムレベルの権限による悪質なコード実行を許す問題だと記しており、同脆弱性の深刻度を「高」とした。

脆弱性の危険度緩和条件として良く目にするのは、ユーザーが何らかの操作をしないかぎり攻撃が成立しないというものだ。しかし eEye によれば、今回の脆弱性はそうしたユーザー操作が介在しなくとも悪用できるという。

Symantec は自社セキュリティ製品のインストール規模について、2億台以上としている。また同社は最近、知的財産の不正流用などを理由に、Microsoft の『Windows Vista』発売差し止めを求めて訴訟手続きを取った。これについて、Vista のセキュリティ機能強化によって割りを食う可能性のある Symantec が、Microsoft を牽制しているのでは、という見方もある。こうした状況で、Symantec としては顧客の信頼を失う訳にはいかないだろう。実際同社は25日、セキュリティ勧告を発表して迅速な対応を示している。

Symantec の情報によると、同脆弱性の影響を受けるのは、Symantec AntiVirus Corporate Edition のバージョン 10.0 および 10.1 と、Symantec Client Security のバージョン 3.0 および 3.1 だという。同社は、影響を受ける製品の具体的なビルド番号も示している。なお、Symantec AntiVirus Corporate Edition バージョン 8.0/8.1/9.0 の全ビルド、Symantec Client Security バージョン 1.0/1.1/2.0 の全ビルド、そして『Norton』ブランドの全製品は、同脆弱性の影響を受けないという。

また Symantec は、影響を受ける製品の修正パッチを27日までに公開しており、同脆弱性を突く攻撃検出のためのパターン情報も提供済みだ。同社は直ちに更新を実施するよう勧めている。

なお Symantec のセキュリティ勧告によれば、今回の脆弱性の影響を受けた顧客の存在や、同脆弱性を突く攻撃の発生について、1件も報告は届いていないという。

だからといって、安心するのは早計だ。eEye の Puterbaugh 氏は、「誰しもウイルス対策ソフトウェアをアンインストールしようとはしないし、またすべきでもない」と述べた。今回の脆弱性発見を機会に、ネットワーク管理者はモバイル機器のセキュリティポリシーを、もう一度見直すべきだ、と同氏は語る。さらなる用心のために必要な手段を講じても、「攻撃防御が業務に障害を及ぼす訳ではない」と同氏は述べている。

eEye は、Symantec に問題の脆弱性を通知した後、情報を公開したが、詳細な内容までは触れずに慎重な姿勢を示した。Putersbaugh 氏によると、「同脆弱性の詳細について明らかにするつもりはない」という。あまり細かな情報を開示してしまうと、攻撃者を助けることになりかねないというのが同氏の意見だ。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール