「Abysssec Research」が公開した「ゼロデイ脆弱性」の例
[画像のクリックで拡大表示]
セキュリティ組織の米サンズ・インスティチュートは2010年9月1日、セキュリティ研究者で組織されるグループが、有名なソフトのゼロデイ脆弱(ぜいじゃく)性(未修正の脆弱性)を、1カ月にわたって毎日1件以上公開し続ける予定であるとして注意を呼びかけた。
ゼロデイ脆弱性を公開するとしているのは、「Abysssec Research」というグループ。4人のセキュリティ研究者で構成されているという。構成メンバーの本名などは一切不明。
同グループでは、2010年9月中、有名なソフトのゼロデイ脆弱性を毎日1件以上公開するとしている。対象となるのは、米マイクロソフト、米モジラ、米サン、米アドビシステムズ、米ヒューレット・パッカード、米ノベルなどのソフトだという。
同グループでは、既に1日目のゼロデイ脆弱性を公開している。1日目に公開されたのは、Adobe ReaderおよびFlash Playerの脆弱性と、Webサイト管理ソフト「cPanel」の脆弱性。悪用されると、前者ではウイルスなどを勝手に実行される危険性が、後者ではアクセスを禁止しているファイルを盗まれる危険性などがあるという。
現時点では、アドビシステムズなどは、今回の件に関する情報を公開していない。脆弱性の真偽も不明だ。ただ、公開された情報には脆弱性の詳細が含まれているため、情報が確かな場合には、悪用が容易だと考えられる。
また、同グループが表明している通り、9月30日まで、さまざまなソフトの脆弱性が公開され続ける可能性が高い。
このためサンズ・インスティチュートでは、メーカーなどの情報をチェックして、必要に応じて対策を施すよう注意喚起している。
