米国時間10月25日ごろ,セキュリティ関連のメーリング・リストやWebサイトにおいて,多数のウイルス対策ソフトが影響を受ける脆弱性(セキュリティ・ホール)が公表された。ある特定の細工が施されたファイルについては,その中身をきちんとチェックしない場合がある。つまり,ウイルスなどが含まれていても,適切に検出しない場合がある。対策ソフトが警告を出さなくても,信頼できないファイルについては安易に開いてはいけない。
ウイルス対策ソフトの多くは,ファイルの拡張子だけではなく,ファイルに含まれるバイト列から,そのファイルの種類を特定する。そして,ファイルの種類に応じてスキャン方法を変更したり,照合するシグネチャ(ウイルス定義ファイル)を限定したりする。スキャンの効率を高めるためである。今回公開された脆弱性は,ファイル種類の特定に関するもの。あるバイト列をファイルに含めれば,実際のファイル種類とは異なるファイル種類に見せかけることが可能であるという。
具体的には,バッチ・ファイル(.bat)やメールのメッセージ・ファイル(.eml),HTMLファイル(.html)などに,実行形式ファイル(exe)に含まれるバイト列(magic byte)を含めると,一部の対策ソフトは実行形式ファイルと誤認識して適切にウイルス・チェックをおこなわないという。つまり,例えばHTMLファイルのウイルス(HTMLウイルス)にmagic byteを含めると,そのウイルスがシグネチャ(ウイルス定義ファイル)に登録されていても検出せずに“素通し”してしまう。対策ソフトは“実行形式用のスキャン”だけを実施して,“HTMLファイル用のスキャン”をおこなわないためである。
報告者によれば,10月26日時点で,以下の対策ソフトにこの脆弱性が確認されたという(テスト時のシグネチャやエンジンなどの詳細なバージョンについては,以下のリストでは割愛した)。
- ArcaVir 2005
- AVG 7
- eTrust CA
- Dr.Web
- F-Prot
- Ikarus
- Kaspersky
- McAfee Internet Security Suite 7.1.5
- McAfee Corporate
- Norman
- TrendMicro PC-Cillin 2005(ウイルスバスター 2005)
- TrendMicro OfficeScan
- Panda Titanium 2005
- UNA(Ukrainian National Antivirus)
- Sophos 3.91
- CAT-QuickHeal
- Fortinet
- TheHacker
以上はあくまでもテストしたものに限っており,これら以外のウイルス対策ソフトやスパイウエア対策ソフト,コンテンツ・フィルタリング・ソフトにも同様の脆弱性が存在する可能性がある。
報告者によると,脆弱性が確認されなかった対策ソフトは以下の通り。
- F-Secure
- Avast
- BitDefender
- ClamWin
- NOD32
- Symantec Corporate
- Norton Internet Security 2005
- VBA32
- HBEDV Antivir Personal
- Sophos 5
- Sophos 3.95
ただし今回の脆弱性の有無にかかわらず,対策ソフトはそもそも万全ではない。もちろん有用ではあるが,新種あるいは新しい変種(亜種)ウイルスが次々と出現している現状では,検出できない場合がある。過信は禁物である。対策ソフトの警告は,ウイルスかどうかを判断するための材料の一つに過ぎない。対策ソフトが警告を発しないからといって,ウイルスではないと断定するのは危険である。たとえ警告を発しなくても,少しでも信頼できないファイルは決して開いてはいけない。
◎参考資料
◆Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability through
◆Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability through forged magic byte.
◆The Magic of magic byte.