2002年5月21日,ジャストシステムは同社のソフト「CyberSupport」をプリインストールしたパソコンに,深刻なセキュリティ・ホールがあることを公表した。該当するのはソニー,NEC,東芝,日立製作所の4社が販売した,それぞれ数十機種のパソコン。百万台規模のパソコンに影響すると考えられる。悪意を持った第三者が作成したホームページやHTMLメールを読んだりしただけで,パソコン上のデータが破壊されたり,書き換えられたりする恐れがある。CyberSupportを使用したことがなくとも,この問題は発生する。ジャストシステムが公開したパッチを適用するか,CyberSupportをアンインストールする必要がある。ジャストシステムによれば,現時点では攻撃による被害の報告は受けていないという。
パッチの入手先および該当機種など詳細情報は以下のとおり。
・ソニー製パソコンについてのパッチと詳細情報
・NEC製パソコンについてのパッチと詳細情報
・東芝製パソコンについてのパッチと詳細情報
・日立製作所製パソコンについてのパッチと詳細情報
ソニー製パソコンにプリインストールされたCyberSupportについては,以前,任意のコマンドを実行されるセキュリティ・ホールを発見,2002年1月24日に公表され,パッチが提供されている。今回のセキュリティ・ホールは,別の問題であり,前回パッチを適用したユーザーも改めてパッチを適用する必要がある。
2002年1月24日に公表された問題は独立行政法人 産業技術総合研究所の高木浩光氏が発見,ソニーに報告したもの。今回の問題について高木氏は,セキュリティ専門家のメーリング・リストであるセキュリティ・ホールmemoメーリングリストで詳細を報告している。報告によれば,今回の問題は2002年4月8日に同氏がソニーに通知した問題と考えられ,原因はCyberSupportに含まれるActiveXコントロールにある。悪意を持った攻撃者が作成したホームページやHTMLメールを読んだりしただけで,パソコン上の任意の場所へのファイル作成,ファイルの追記,レジストリの改変などが可能である。なお,ソニーおよびジャストシステムは,発見者について「社内ではなく社外の第三者だが,具体的な個人名は公表していない」としている。
