インターネットのセキュリティ組織である米CERT/CCは米国時間6月8日,インターネット上のWebサイトやFTPサイトからダウンロードしたソフトウエアに注意するよう改めて呼びかけた。トロイの木馬やバックドアが仕掛けている可能性についての警告である。仕掛けられているソフトウエア名や被害件数などは明らかにされていないものの,それらによる被害報告が増えているようだ。対策として,ソフトウエアのチェックサムやディジタル署名を確認することを勧めている。
ダウンロード用サイトに侵入してソフトウエアにトロイの木馬やバックドアを仕込むことは以前から行われている。例えば1999年1月にはセキュリティ・ソフトである「TCP Wrapper」にバックドアが仕掛けられ,CERT/CCは警告を発した。今回改めて注意を呼びかけたということは,ここへきて被害が再び増えてきているためと考えられる。
被害を受けないために,ソフトが改変されていないことを確認するよう強く勧めている。確認するには,ソフトウエアと一緒に公開されている以下の情報を検証する。
(1)PGPなどによるディジタル署名
(2)MD5などによるチェックサム(ハッシュ値)
また,ディジタル署名やチェックサムが公開されていない場合には,ソース・コードをチェックしたり,テスト・マシンにインストールしてみるなどして,安全性を確認することを勧めている。ダウンロードしたソフトを公開用サーバーなどにインストールする際には十分注意したい。
また,誰でもダウンロードできるFTPサイト(Annonymous FTPサイト)では,パスワードとして電子メール・アドレスを入力させる場合が多い。これもきちんと入力しておきたい。非常時には,ソフトウエアの配布元がこのアドレスに連絡してくれるからである。実際,TCP Wrapperのバックドアが発覚した際には,そのアドレスあてに警告メールが送信されている。
