McAfee Avert Labs Blog
「Hide me Sony one more time!」より
August 28, 2007 Posted by Aditya Kapoor, Seth Purdy

【編集部注】
この記事で解説しているルートキットに関し,ソニーは9月7日,デバイスから取り除く方針を明らかにしました(ソニー,USBメモリー付属ソフトに含まれていた“ルートキット”を削除へ)。9月下旬にもルートキットを取り除くための修正ソフトが配布される見込みです。

 「悪夢よ再び」といったところだろうか。フィンランドのエフ・セキュアがソニー製USBドライブの付属ソフトウエアにルートキットまがいの技術が組み込まれていると明らかにしたのを聞き,最初は「くだんの音楽CDの件(関連記事:Sony BMG,音楽CDのルートキット型コピー防止問題でFTCと和解へ)で一騒動あったにもかかわらず,本当だろうか」と驚かずにいられなかった。残念ながら,本当だったようだ(関連記事:ソニー製USBメモリーのドライバーに問題――セキュリティ会社が指摘)。

 やっかいなルートキットの中で最も手を焼くのが,さまざまなテクニックを織り交ぜて自らの存在を隠したり,保護したりする類のものだ。I/O要求でのパケット・フィルタリングは,カーネル・モードで用いられるルートキットのテクニックの一つで,よく見られるService Descriptor Table(SDT)フッキングと合わせて急速に普及してきている。

 ソニーのUSBドライブ「MicroVault」に付属しているソフトウエア「Fingerprint Access」は,台湾のファインアート・テクノロジが開発したプログラムとデバイス・ドライバを使用している。このデバイス・ドライバは,既存ドライバの上位のファイル・システム・フィルタ・ドライバとしてインストールされ,さらにNtEnumerateKeyをフックする目的でSDTをフックする。これらの設定が完了すると,すべてのファイル・システム情報がこのデバイス・ドライバを通じてフィルタリングされるため,ディレクトリやファイルが簡単に隠されてしまう。デバッガ「WinDbg」のスナップ・ショットでこのデバイス・スタックを示しておく。


図1 - ファイル・システムI/Oのドライバ・スタックの上位に「\Driver\FG」が追加される
[画像のクリックで拡大表示]

 この設定の目的は明らかに,同USBドライブに搭載された指紋認証機能の重要なファイルを隠すことである。しかし今回のケースは,(「またもや」と言わざるを得ないが)セキュリティの観点が明らかに欠けている。実行ファイルを任意のディレクトリに配置することができるため,同ファイルを実行すると,そのディレクトリに含まれるすべてのフォルダとファイルが隠されてしまうのだ。

 試しに,バイナリ・ファイルを「%windir%」に入れてみた。同ファイルを起動すると,ディレクトリ「system32」に含まれるすべてのファイルとサブディレクトリが実際に隠され,これらのディレクトリに含まれるリソースはいずれもアクセス不可能となった。クローキング(隠蔽工作)でパスが解決されないため,「スタート」メニューの「ファイル名を指定して実行」ダイアログ・ボックスから「レジストリ・エディタ」「メモ帳」「コマンドプロンプト」などの簡易ユーティリティが実行できなくなったのだ。ただし,これらの隠しファイルは,完全な修飾パスを用いれば引き続きアクセスできる。幸運なことに,実行ファイルそのものは,レジストリの「Run」キーにエントリを追加したり,そのほかの起動方法を設定したりしないため,これらの隠されたオブジェクトは再起動後に再び利用できるようになる。ただし,同デバイス・ドライバのコンポーネントが再起動後にメモリーに読み込まれるため,その段階でバイナリ・ファイルが再実行され,ディレクトリとファイルが隠されてしまう。

 ソニーとしては,デフォルトのインストール・パスは「%windir%[ディレクトリ]」だと主張するかもしれないが,だからといって,マルウエア作者が任意のディレクトリにこのバイナリ・ファイルをコピーし,そこから同ファイルを実行することを防ぐことはできない。ソニーが設定したデフォルトのインストール先ディレクトリで悪事を働くマルウエアを隠してしまうだけだろう。別の簡単なハッキング方法は,任意のディレクトリでこのバイナリ・ファイルを起動し,さらに起動エントリを追加して,起動直後にマルウエアを隠してしまうことだろう。

   以下に「VirusScan」の処理画面のスナップショットを掲載する。VirusScanでは今回のデバイス・ドライバを「HideVault!sys」として検出,削除することで,再起動時のクローキングを無効にする。


図2 VirusScan処理画面のスナップショット
[画像のクリックで拡大表示]

 残念ながら,ソニーが再び,後先を考えることなく,自らの都合だけで機能を優先させてしまったようだ。


Copyrights (C) 2007 McAfee, Inc. All rights reserved.

本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「Hide me Sony one more time!」でお読みいただけます。