米Websenseは現地時間11月16日,Sony BMG Music Entertainment(以下,ソニーBMG)が公開していたアンインストール・ツールを悪用するWebサイトが複数出現しているとして注意を呼びかけた。同ツールを利用したユーザーがそれらのサイトにアクセスすると,ウイルスなどを勝手に仕込まれる可能性がある。現時点での対策は,Internet Explorer(IE)の設定変更など。
公開されていたツールは,ソニーBMGの音楽CDなどに含まれる「XCP」違法複製防止ソフトをアンインストールためのもの。英First 4 Internetが開発したXCPは,自身の存在を隠すためにルートキットの手法を用いているとして,ユーザーなどから非難を浴びた(関連記事)。
そこでソニーBMGでは,ルートキットの機能を持つモジュールを削除できるようにするためのパッチやアンインストール用のツールを公開。併せて,XCPを含むCDは交換および回収することを決定した(関連記事)。
ところが,同社のWebサイトで公開していたアンインストール・ツール(ActiveXコントロール)には問題があることが発覚。ツールの公開を中止した(関連記事)。ツールを悪用すれば,攻撃者のWebサイトへIEでアクセスしたユーザーに任意のプログラムを実行させることなどが可能となる。
そして今回,実際にツールを悪用するWebサイトが確認されたという。ソニーBMGのWebサイトへアクセスしてツール(ActiveXコントロール)をインストールしたユーザーが,それらのWebサイトへアクセスすると,パソコンを再起動させられたり,攻撃者が指定したプログラムがダウンロードおよび実行されたりする可能性があるという。
ソニーBMGでは新しいアンインストール・ツールを現在準備中。古いアンインストール・ツールを実行してしまったユーザーが取りうる回避策の一つは,Webページ中のスクリプトからローカルのActiveXコントロールを呼び出されないようにすること。
具体的には,IEのセキュリティ設定を変更する。「インターネット オプション」の「セキュリティ」タブから,「インターネット」ゾーンのセキュリティレベルを「高」にすれば,ActiveXコントロールの悪用を防げる。「レベルのカスタマイズ」から「スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行」を「無効にする」ことでも防げる。
ただしこれらの方法だと,問題のActiveXコントロール以外も実行できなくなる。レジストリを変更すれば,問題のActiveXコントロールだけを呼び出せないようにできる。米Microsoftの情報によると,問題のActiveXコントロールのクラス識別子(CLSID)が{80E8743E-8AC5-46F1-96A0-59FA30740C51} および {4EA7C4C5-C5C0-4F5C-A008-8293505F71CC} なので,これらに「Kill Bit」を設定すれば悪用を防げるとしている。
◎参考資料
◆Sony Uninstaller Exploits(米Websense)
◆Disabling an ActiveX(米Microsoft)
◆Sony, DRM, Rootkits, Bugs and You(フィンランドF-Secure)
◆Internet Explorer で ActiveX コントロールの動作を停止する方法(マイクロソフト)
