米Symantecは米国時間6月23日,同社および日本法人のシマンテックなどが提供する無償のオンライン・サービス「Symantec Security Check」にセキュリティ・ホールが存在することを明らかにした*。Symantec Security Checkは,パソコンのセキュリティ・ホールやウイルス感染の有無をチェックするサービス。一度でもこのサービスを利用したことがあるマシンで細工が施されたWebページを閲覧すると,任意のコード(プログラム)を実行させられる恐れがある。

*米Symantecからセキュリティ関連メーリング・リスト「Bugtraq」に投稿された。現時点(6月25日16時)では同社サイトにこの情報はない。なお,Symantecから投稿された情報であることは,日本法人に確認済み。

【6月26日追記】シマンテックは6月25日付けで,上記セキュリティ・ホールに関する日本語情報を公開した。Symantec Security CheckのActiveXに関連したファイルとレジストリ項目を削除するツールも公開している【6月26日追記ここまで】

 現時点ではセキュリティ・ホールは修正済みである。過去に同サービスを利用したことがあるユーザーの対策は,再び同サービスを利用して新しいActiveXコントロールをインストールすることや,システム・フォルダ(例えば,C:\WINNT)内の「Downloaded Program Files」にある「rufsi.dll」を削除すること。ただし万全ではない。

ActiveXコントロールにバッファ・オーバーフロー

 Symantec Security Checkを利用するとインストールされるActiveXコントロールの1つ「Symantec RuFSI Utility Class」(「Symantec RuFSI Registry Information Class」と呼ぶ場合もある)にバッファ・オーバーフローのセキュリティ・ホールが見つかった。ActiveXコントロールはサービスの利用を終了しても,マシンにインストールされたままになる。このため,一度でも同サービスを利用したことがあれば,そのユーザー(マシン)は影響を受ける。具体的には,このコントロールがインストールされたマシンで,細工が施されたWebページを閲覧すると,Internet Explorer(IE)をクラッシュさせられたり,任意のコードを実行させられる恐れがある。

 Symantecによる「Bugtraq」への投稿によれば,現在ではセキュリティ・ホールが修正されているという。このため,以前Symantec Security Checkを利用したことがあるユーザーは,再び同サービスを利用して新しいActiveXコントロールをインストールする必要がある。

 また,セキュリティ・ホールがあるActiveXコントロールを削除することでも対応できるとしている。具体的には,システム・フォルダ(%SystemRoot%。例えば,C:\WINNT)下の「Downloaded Program Files」フォルダに保存されている「rufsi.dll」を削除する。ただし,コマンド・プロンプトからしか削除できない。セキュリティ・ホールの発見者による投稿では,同じく「Downloaded Program Files」フォルダ内の「Symantec RuFSI Utility Class」を削除することを,回避策として挙げている。

古いコントロールを悪用される恐れも

 以上を実施すれば,マシンからセキュリティ・ホールがあるActiveXコントロールを取り除ける。ただし万全ではない。問題のコントロールを削除したユーザーも,一度も同サービスを利用したことがないユーザーも注意が必要だ。

 というのも,攻撃者が(セキュリティ・ホールが存在する)古いコントロールを保存している場合には,そのコントロールを送り込まれる恐れがあるからだ。デフォルト設定のIEでは,送り込まれた際にダイアログが表示されるが,Symantecにより署名が施されていると表示されるため,「はい」をクリックしてしまうユーザーは少なくないだろう。その後,そのコントロールを悪用すれば,任意のコードを実行させられることになる(参考資料)。

 このような事態を防ぐために,「たとえ署名が施されていても,安易にActiveXコントロールをインストールしない」「いつもはActiveXコントロールを無効にしておいて,必要な場合および信頼できるサイトに対してだけ(例えば,「Windows Update」を実施する場合だけ)有効にする」――といった基本的な対策が不可欠である(関連記事)。

◎参考記事
Symantec Security Check ActiveX Buffer Overflow(米Symantec による「Bugtraq」への投稿)
Symantec Security Check のActiveXにバッファ・オーバーフローの脆弱性(シマンテック)
Symantec Security Check クリーンアップツール(シマンテック)

(勝村 幸博=IT Pro)