前回のコラム「MS製フリーソフトで既存パソコンを擬似シンクライアント化」で,手元のパソコン(PC)からリモートのPCを遠隔操作するリモート操作ソフトを紹介しました。こうしたソフトには,UltraVNCなどのフリーソフトもあります。実はこのUltraVNCの操作する側のソフト“UltraVNC Viewer”にバッファ・オーバーフローのセキュリティ・ホールが見つかりました。JPCERTコーディネーションセンター(JPCERT/CC)が定期的に発行するレポートの「JPCERT/CC REPORT 2008-03-26」に記載されています。
このセキュリティ・ホールが影響するバージョンはUltraVNC Viewer 1.0.2と1.0.4です(Vulnerability Note VU#721460 UltraVNC buffer overflow vulnerability)。サーバー機能(リモート操作を受ける側の機能)にはセキュリティ・ホールはなく,影響を受けるのはあくまでクライアント側のUltraVNC Viewerだけです。詳細な情報は,「WARNING, EXPLOIT in viewer」に記載されています。これを見ると「LISTENINGモードで使用するケース」と「DSM Pluginを使用するケース」以外は問題はないように読めますが,一番確実な対応策は,対処済みのUltraVNC Viewerに置き換えることです。
このセキュリティ・ホールは2月に公表され,対処済みのUltraVNC Viewerは,UltraVNCの
ところが実は,日本語環境では簡単にはいきません。Viewer Security Update 2に含まれる「vncviewer.exe」では日本語キーボードが機能しないのです。具体的には,UltraVNC Viewerからリモート操作される側のPCに入り,メーラーなどで日本語を入力する際に漢字入力モードに切り替えようとしても,「vncviewer.exe」が漢字入力モードへの切り替え操作を認知できず,そのままでは漢字を入力できません。
日本語環境で利用可能な「UltraVNC 日本語版」は,NANASI's Home Pageで公開されています(参考:JPCERT/CC REPORT 2008-03-26)。これはNANASI(KANTAN PROJECT)氏が,オリジナルの「UltraVNC」に漢字キーや2バイト文字の対応,および表示を日本語に変更したものです。ところが,その最新版は2006年12月に公開された「UltraVNC 1.0.2 日本語版 Release 2」であり,今回のセキュリティ・ホールの影響を受けるようです。2008年3月28日現在,対応のアナウンスはなされていません。
そこで対処法を試行錯誤したところ,次の方法で日本語環境で使用可能なUltraVNC Viewerを実現できました。
(1)まず,「UltraVNC 1.0.2 日本語版 Release 2」を削除後,Windowsの再起動を行う。
(2)次に,UltraVNC Downloadから,2008年2月24日に公開された最新版の UltraVNC RC (Beta)である「UltraVNC 1.0.4 RC14」をダウンロード(私の環境では,UltraVNC_1.0.4_RC14_Setup.exeを選択)する。
(3)「UltraVNC 1.0.4 RC14」のインストールを行う。
(4)”UltraVNC Viewer”を起動後,セットアップに含まれる項目の内,名称の変更された「Mouse and Keyboard」の欄の新たなセットアップ種別である「Japanese Keyboard」にチェックを入れて日本語キーボードを有効にした後(デフォルトではチェックは入ってない),使用する。
 |
| 図1●従来の設定画面 [画像のクリックで拡大表示] |
 |
| 図2●新しい設定画面 |
(1)の「UltraVNC 1.0.2 日本語版 Release 2」の削除とWindowsの再起動をきちんと行わなければ,新たな設定をセットアップできないことがありますので注意しましょう。また,「UltraVNC 1.0.4 RC14」はあくまでもベータ版ということを前提に使用する必要があります。最後に,こうした日本語対応の取組みをして頂いている方々に,感謝したいと思います。
| 著者について 以前,ITproで「今週のSecurity Check [Windows編]」を執筆していただいた山下眞一郎氏に,情報漏えい対策に関する話題や動向を分かりやすく解説していただきます。(編集部より) |
