2005年11月15日 (火) by Ed Felten
[この記事はJ. Alex HaldermanとEd Feltenの共著です。]
週末にかけて、フィンランド人の研究者Muzzyは、First4InternetのXCPコピープロテクトを削除したいと云うユーザーに向けてソニーが提供したWebベースアンインストーラに、潜在的な脆弱性がある事を警告しました。私達はそのソフトウェアの詳細を調べ、確かにその弱点を攻撃者が利用する事が、可能であると分かりました。影響を受けたユーザーにとっては、この事は、元のSonyのrootkitよりも遥かに深刻な、セキュリティー上の危険性を意味します。
この欠陥の引き起こす結果は、深刻です。あなたが開いたどのようなwebページも、あなたのコンピュータに、任意のコードを好きなようにダウンロードさせ、インストールし、そして走らせる事が出来ます。どのようなwebページも、あなたのコンピュータの制御を取り上げて、何でも好きな事を出来るようになります。この深刻さは、およそセキュリティ上の欠陥の持ち得る最も深刻なものであります。
この問題の根本は、Sonyのwebベースアンインストーラの持つ、深刻な設計上の欠陥にあります。アンインストーラを貰う為に、あなたが最初にSonyのフォームを埋めた時、リクエストフォームは或るプログラムを落として、インストールします。DRMの供給元であるFirst4Internetが作ったActiveXコントロールで、これはCodeSupport?と呼ばれています。CodeSupport?はSonyのサイトを閉じた後になってもシステム内に残り、スクリプティングに対して安全であるとのマークが付けられています。その為、任意のwebページがCodeSupport?に、何か行動をさせる事が出来ます。CodeSupport?に頼める一つの事は、インターネット上のwebサイトからコードを落として、インストールする事です。不幸にもCodeSupport?は、落とされたコードが実際にSonyかFirst4Internetから来たものなのかどうかを確認しません。この事は、任意のwebページが任意のURLから、CodeSupport?にコードをダウンロード、インストールさせる事が出来ると云う事を意味します。ユーザの許可を得ずにです。
悪意あるwebサイト作者は、悪意あるプログラムを書き、適切にプログラムをパッケージ化して、どこかのURLにそれを置き、そしてCodeSupport?にそのURLからコードを落とさせ、実行させるwebページを書く事が出来ます。もしあなたがそのページをInternet Explorerで開いて、しかも以前にSonyのアンインストーラを要求していた場合、その悪意あるプログラムがダウンロードされ、あなたのコンピュータ上で走ります。即座に、そして、自動的にです。あなたはもはやそれまでです。
私達は、デモ用のコードパッケージを作り、標的のコンピュータに招かれざるファイルをインストールする為にこの設計上の欠陥を悪用するwebページを書きました。その悪用は、実際にはコンピュータに危害を与えるものではなく、敵意あるコードを標的のコンピュータ上で動かせる事を示すだけのものです。そして、敵意あるコードは、本来は禁止されているべき動作を行う事が出来ます。今のところ、私達はそのデモを一般には公開しません。
CodeSupport?は、SonyがFirst4Internetのrootkitを削除する為に公開した、元のwebベースアップデータの一部としても、インストールされていました。Sonyはwebベース版のアップデータを、ダウンロード可能なEXEかZIPファイルで置き換えましたが、これらは我々の知る限りでは安全です。もしあなたが元のwebベースアップデータを利用していなくて、且つフルアンインストーラをSonyに要求していないのなら、我々の知る限りでは、あなたはこの脆弱性からは安全です。
この脆弱性から自分自身を守るには?まず最初に、今のところはFirst4Internetから来たどのようなソフトウェアも、インストールを許さないで下さい(ゆくゆくはFirst4Internetは修正版を公開するかも知れません。それはインストールの価値があるかも知れません)。そうする事で、あなたのマシンからCodeSupport?を遠ざける事ができます。もし既に入っているのでなければ。
あなたのマシンが脆弱であるかどうかは、Muzzyの再起動デモリンクで調べる事が出来ます。もしCodeSupport?がマシンに入っていないなら、このリンクは何もせずに、ブラウザにメッセージを表示するだけです。でも、もしCodeSupport?が入っていて、それ故に脆弱であるなら、このリンクはマシンを再起動させます。警告はしましたよ!これがリンクです。
もしあなたが脆弱であるなら、マシンからCodeSupport?コンポーネントを削除する事で、自分を守る事が出来ます。スタートメニューから実行を選んで、出てくるボックス内に、次のように一行で入力します。
cmd /k del “%windir%\downloaded program files\codesupport.*
これは万能な解決策ではなく、あなたのセキュリティー設定に依ります。問題のソフトウェアがもう一度インストールされる事を防ぐわけでもありませんが、何もしないよりはマシでしょう。我々はFirst4Internetが完璧なパッチを開発するのを待たなければなりません。
追記: Sonyは問題あるCDを回収するつもりであると、USA Todayが報じました。流通中のディスクは販売されず、また既にディスクを買ってしまった顧客は、それを交換して貰えるとの事です。Sonyは今週末に回収計画の詳細を発表します。危険なXCPソフトウェアをマシンに入れてしまった顧客の為に、それを削除するツールを配布する事が、その計画に含まれている事を、私達は望んでいます。
