トレンドマイクロのウイルス対策ソフトに重大なセキュリティ・ホール

　トレンドマイクロのウイルス対策ソフトに3種類のセキュリティ・ホールが相次いで見つかっている。そのうち2つは同社のゲートウエイ型ウイルス対策ソフト「InterScan VirusWall for Windows NT」に関するもので，もう1つはウイルス対策ソフトの管理用ソフト「Virus Control System（VCS）」に関するものである。同社の製品は，最もポピュラーなウイルス対策製品の一つであり，導入している企業も多い。プロバイダなどがウイルス・チェック・サービスを提供する際にも，利用しているケースが多い。

　いずれも，発見したのは筆者が所属する「ラック コンピュータセキュリティ研究所」である。今回のコラムではこれらのセキュリティ・ホールについて解説したいと思う。なお，既にコンピュータセキュリティ研究所ではそれぞれについてのアドバイザリ（レポート）を公開している ^*1。詳細を知りたい方はそちらも参照してほしい。

*1：それぞれのURLは
SNS Advisory No.27: http://www.lac.co.jp/security/snsadv/27.html
SNS Advisory No.28: http://www.lac.co.jp/security/snsadv/28.html
SNS Advisory No.29: http://www.lac.co.jp/security/snsadv/29.html

ウイルスを“水際”で防ぐゲートウエイ型対策ソフトに落とし穴

　まず，「InterScan VirusWall for Windows NT」に見つかったセキュリティ・ホールについて解説したい。しかしその前に，「ゲートウエイ型ウイルス対策ソフト」について簡単に説明しよう。

　InterScan VirusWallをはじめとするゲートウエイ型ウイルス対策ソフトは，インターネット経由で侵入するウイルスを，インターネットとLANの境界部分で検出し駆除する。つまり，LAN に出入りする SMTPやHTTP，FTPトラフィックに含まれるウイルスや，いわゆる「悪意あるモバイルコード ^*2」を“水際”で防ぐことができる。そのため，ウイルス対策としては有効な手段である。

　しかしながら，そのソフトにセキュリティ・ホールが存在する場合には，事情は大きく変わってくる。セキュリティ・レベルを上げるはずの製品が，実際にはセキュリティ・レベルを下げてしまうのだ。

*2：「悪意あるモバイル・コード」とは，システムの破壊，侵入，情報の奪取などを目的とした，インターネットを通じて送受信可能なプログラムのこと。一般的には，ウイルスやワーム，トロイの木馬なども含まれるが，最近ではWebサイトなどに置かれるインターネット用のコンテンツを指す場合が多い。

InterScan VirusWall 第1の問題: 「RegGo.dll」のバッファ・オーバーフロー

　「InterScan VirusWall for Windows NT」に見つかった最初のセキュリティ・ホールは，「RegGo.dll」のバッファ・オーバーフロー ^*3 の問題である。RegGo.dll は通常「\Interscan\cgi-bin」ディレクトリ（フォルダ）下にインストールされているCGIプログラムで，リモートから InterScan VirusWall を管理するために使用する。

*3：バッファ・オーバーフローとは，あらかじめ一定サイズの「バッファ」と呼ばれるメモリ領域を確保し，この領域に入力データを読み込むようなプログラムがあったとき，この入力データのサイズをチェックしない場合に発生する問題である。つまり，もしこのバッファの大きさを超えるデータが何らかの手段で入力された場合，メモリ領域が破壊されてしまい，プログラムは誤動作や異常終了を引き起こすことができてしまう。最悪の場合，この問題を利用して任意のコードを実行させることが可能となる（参考文献: Phrack 49-14 "Smashing The Stack For Fun And Profit" ）。

　この RegGo.dll にある特定の文字列を送信してバッファ・オーバーフローを引き起こせば，リモートから任意のプログラムをターゲット・ホスト上で実行することが可能となる（このとき，プログラムは Local System 権限で実行される）。すなわち，攻撃者に以下のような操作を許すことになる。

• ターゲット・ホスト内の特定プログラムの実行
• ターゲット・ホスト内のファイル書き換えと削除
• ターゲット・ホストのシステム停止および再起動
• トロイの木馬やウイルスなどのアップロードと実行

　この問題を確認しているバージョンは， Ver. 3.5 English/3.51 Build 1321 English/3.51 J。対策は，トレンドマイクロがリリースした修正プログラムを適用することである。また，同社によれば今後リリースされるVer.3.52Jではこの問題は解消されているという。

InterScan VirusWall 第2の問題: リモートから意図しない設定が行われる

　「InterScan VirusWall for Windows NT」に関するもう1つのセキュリティ・ホールもCGIプログラムが関係している。利便性を考慮して，同製品ではWebブラウザを使ってリモートから設定を変更できるようになっている。しかし，今回のセキュリティ・ホールを突けば，あるCGIプログラムを直接呼び出すことによって，InterScan VirusWallの設定を変更できてしまう。

　現在のところ，この問題を確認しているバージョンは Ver. 3.51 English である。この問題に関しては，トレンドマイクロのサポートチームから，「Version 5.0 で対策が反映される予定である」との回答を得ている。Version 5.0 は 7月に公開される予定だ。上述の“第1の問題”と異なり，修正プログラムはリリースされない。

　そのため，Version 5.0がリリースされるまでは，ファイアウオールなどでアクセス制御された安全なネットワーク内にInterScan VirusWall for Windows NT を設置することが唯一の対策方法である。

Virus Control System の問題

　ウイルス対策製品そのものではなく，トレンドマイクロの管理用ソフトウエアにもセキュリティ・ホールが見つかっている。同社製の複数のウイルス対策ソフトを集中管理できる「Virus Control System（VCS）」には，上述の“第2の問題”と同様の問題がある。

　VCSによる作業や設定はリモートからWebブラウザで行うことが可能である。この際，VCS の管理画面へ移るためには，パスワードを入力する必要がある。しかし，URL 中に特定のファイル名を入力すると，この認証を回避できてしまうのである。

　現在この問題の発生を確認しているのは，VCS Ver.1.8 Japanese/English。この問題について，トレンドマイクロからは「今年の終わりごろまでに対策方法を公開する」という旨の回答が得られた。つまり現状では修正プログラムなどで回避することはできない。そのため，セキュリティ・ホールの詳細についてこれ以上説明することは差し控えたい。

　修正プログラムなどが存在しない以上，VCSに外部からアクセスされることを防ぐ以外に方法はない。上述の“第2の問題”と同じである。VCS がインストールされているサーバーには，外部からのアクセスをファイアウオールなどで禁止した上で，管理者のみアクセスできるようにIPアドレスなどでアクセス制限をする必要がある。

　今回解説したセキュリティ・ホールはいずれも深刻である。ウイルスの脅威からLANを守る“壁”であるはずのウイルス対策ソフトが，大きな“穴”になりかねない。しかも，世の中に広く出まわっている。問題の影響を受けるソフトウエアを使用している管理者は，今回の情報を基に迅速な対処を行ってくれることを筆者は強く望む。

---

---

　IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は，その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え，専門家の立場から解説していただきます。