セキュリティ・ベンダーであるラックは9月7日,トレンドマイクロの「ウイルスバスター コーポレートエディション」に見つかったセキュリティ・ホールを公表した。コーポレートエディション・サーバーが稼働するマシンの特定URLにアクセスすると,管理者でなくても「Outbreak Prevent Policy(大規模感染予防ポリシー)」を閲覧できてしまう。対策はコーポレートエディション・サーバーにアクセスできるマシンを制限すること。トレンドマイクロは,このセキュリティ・ホールに関するサポート情報を8月16日に公開している。
今回のセキュリティ・ホールは,情報処理推進機構(IPA)が7月から開始した「脆弱性届け出窓口」に報告されたもの。8月末時点で,ソフトウエアのセキュリティ・ホールに関する届け出は14件あった(関連記事)。IPAに問い合わせたところ,公表に至ったのは今回のセキュリティ・ホールが初めてだという。
今回のセキュリティ・ホールは,ウイルスバスター コーポレートエディションで利用できる「大規模感染予防」サービスに関するもの。大規模感染予防サービスを利用していない場合には影響を受けない。また,ウイルスバスター コーポレートエディションは,各クライアント・マシンにインストールするクライアント・ソフトと,クライアントを管理するサーバー・ソフトで構成されるが,今回問題となるのはサーバーだけ。
新しいウイルスが出現してから,そのウイルスを検知/駆除するためのパターンファイルが公開されるまでにはタイムラグがある。このタイムラグを埋めるのが大規模感染予防サービスである。このサービスでは「特定のポートを閉じる」や「特定のファイルが添付されているメールをブロックする」――といった方法で,ウイルスの侵入を防ぐ。「どのポートを閉じるのか」「どういったメールをブロックするのか」といったポリシーは,トレンドマイクロから配信される。これが,大規模感染予防ポリシーである。
今回のセキュリティ・ホールを突けば,同社からどういったポリシーが配信されたのかを管理者以外が閲覧できてしまう。つまり,ポリシーの裏をかくようなウイルスを作成することが可能となる。
ただし,同社ではセキュリティ・ホールの危険性は低いとしている。ポリシーの裏をかくウイルスが流行した場合には,そのウイルスに対応した新しいポリシーをすぐに配信すれば対応できるためだ。また,ポリシーを利用するのは限られた場合だけで,実際のウイルス検出にはパターンファイルを利用する。このため,今回のセキュリティ・ホールが,通常のウイルス検出に影響を及ぼすことはない。
対策は,コーポレートエディション・サーバーが稼働するマシンへのアクセスを制限すること。コーポレートエディション・サーバーはWebベースであり,WebサーバーIIS(Internet Information Services)を介してアクセスする。このため,IISでアクセス制限を施せば,コーポレートエディション・サーバーへのアクセスを制限できる。トレンドマイクロは,具体的な設定方法を公開している。
◎参考資料
◆SNS Advisory No.78「TrendMicro Virus Buster Corporate Edition Configuration File Disclosure Vulnerability」(ラック)
◆ウイルスバスター コーポレートエディションに脆弱性(JP Vendor Status Notes)
◆ウイルスバスター コーポレートエディション 5.58の管理コンソールから特定のURLを指定するとOPP.iniファイルが閲覧可能になる脆弱性に関して(トレンドマイクロ)
◆Internet Information Serviceの設定でウイルスバスター コーポレートエディションサーバにアクセス可能なコンピュータを制御する方法(トレンドマイクロ)
(勝村 幸博=IT Pro)
