米MicrosoftがWindows OneCareのセキュリティ問題に反論

ITPro

2006.02.02

　米Microsoftは，パソコン向け総合管理サービス「Windows OneCare」（ベータ版）のファイアウオール設定に問題があると指摘されたことに対し，コメントを発表した。同社主任プログラム・マネージャのYoav Schwartz氏が米国時間1月31日に，ブログへの投稿で明らかにしたもの。それによると，電子署名付きJava仮想マシン（VM）用アプリケーションの通信を許可するファイアウオール機能の初期設定が，批判の対象になっているという。

　Windows OneCareは，会員制の家庭ユーザー向けパソコン管理サービス。ウイルスやワームの脅威からパソコンを守るほか，バックアップや性能維持に関するツールを提供する。2005年5月より同社の従業員による試験利用を行い，11月に一般向けベータ運用を開始した。

　Windows OneCareのセキュリティ機能について，Schwartz氏は「複数の保護技術を階層的に組み合わせ，1つのパッケージとして提供している」と説明する。「双方向ファイアウオール，アンチウイルス，（提供予定の）アンチスパイウエア，バックアップ，メンテナンスという各機能はそれぞれ重要で，個別に動かすだけでは危険だ」（同氏）。

　初期設定でファイアウオールがJava VMの通信を自動的に許可する理由を，同氏はサード・パーティ製アプリケーションでJava VMが広く使われているからとする。ファイアウオールを通過しても，Windows OneCareのアンチウイルス機能が悪質なプログラムをブロックし，第2の防衛線になるという。

　「電子署名がプログラムに付加されていれば，開発者を探すことができる。それに，電子署名付きマルウエアはほとんど見かけない」（同氏）。

　なお米メディア（CNET News.com）は，このセキュリティ問題の発見者を米Foundstone（米McAfee傘下企業）副社長のMark Curphey氏と報じている。同氏がこの件をFoundstone社セキュリティ・コンサルタントのRoger Grimes氏に伝え，Grimes氏がブログで取り上げたため明らかになったという。