米US-CERTは米国時間11月15日,Sony BMG Music Entertainment(以下,ソニーBMG)が配布したアンインストール・ツールに問題があることを指摘した。同ツールを悪用すれば,攻撃者のWebサイトへアクセスしたユーザーに任意のプログラムを実行させることなどが可能となる。ソニーBMGでは,同日付でツールの配布を一時中止したことを発表している。
US-CERTが問題を指摘したツールは,ソニーBMGの音楽CDなどに含まれている「XCP」違法複製防止ソフトをアンインストールするためのもの。英First 4 Internetが開発したXCPは,自身の存在を隠すためにルートキットの手法を用いているとして話題となった(関連記事)。XCPの機能を悪用すれば,ウイルスなどが対策ソフトから身を隠すことができるためだ。
実際,11月10日には同機能を悪用するプログラムが出現。ウイルス対策ベンダーや米Microsoftなどは,XCPのモジュールの一部を悪質なプログラムとみなすことを表明した(関連記事)。
ソニーBMGでは,ルートキットの機能を持つモジュールを削除できるようにするためのパッチ(セキュリティ・アップデート)を公開。併せて,XCPをアンインストールためのツールを公開した。US-CERTが問題を指摘したのは,このアンインストール・ツールである。
アンインストール・ツールの実体はActiveXコントロール。このコントロールには,ファイルの実行などを可能にする危険なメソッドが含まれているものの,「Safe for scripting」マークが付いている。これが,US-CERTが指摘した問題点である。
Safe for scriptingマークが付いているActiveXコントロールは,日本語では「スクリプトを実行しても安全だとマークされているActiveXコントロール」と訳されている。このマークが付いているActiveXコントロールは,Internet Explorer(IE)のセキュリティ設定をユーザーが高めていない限り,Webページ上のスクリプトから呼び出せる。つまり,インターネット上のWebページにアクセスしただけで,そのActiveXコントロールを実行させられる可能性がある。
このため,システムに影響を与えるような動作をする(メソッドを持つ)ActiveXコントロールには,Safe for scriptingマークを付けないことが“常識”となっている。Safe for scriptingマークが付いていなければ,Webページ中のスクリプトからは呼び出せない。
ところが,ソニーBMGが配布したActiveXコントロールは,システムに影響を与えるような動作が可能であるものの,Safe for scriptingマークが付いている。このため,このコントロールを呼び出すようなスクリプトが記述されたWebページにアクセスすると,任意のプログラムをダウンロードおよび実行させられる恐れがある。
US-CERTの情報によると,アンインストール・ツールはWeb上では公開されておらず,ユーザーが要求する形式を取っていたという。ユーザーがソニーBMGのサイトでツールを要求すると,ツールへのリンク(URL)が記されたメールが送られてくる。このリンクをクリックすると,ActiveXコントロールをインストールするよう促すページが表示された。
ソニーBMGは11月15日,「UNINSTALL REQUESTS」ページにおいてアンインストール・ツールの公開を一時停止したことを発表。理由については明記していない。現在,新しいツールを作成している最中なので,数日後,同ページに改めてアクセスしてほしいとしている。
◎参考資料
◆First 4 Internet XCP DRM Vulnerabilities
◆UNINSTALL REQUESTS
