Vistaのファイアウォール機能に問題あり――シマンテックの研究者が指摘
マルウェアへのVistaの対応能力に関する研究リポートの執筆者で、シマンテックのセキュリティ・レスポンス・チームのオーランド・パディリャ氏は、同OSのファイアウォール機能の弱点について、同社の ブログ でこう指摘した。
「(ファイアウォールは)ホストの裏をかこうとする悪質なコードを阻む障壁だ。しかし、Vistaのファイアウォールにはもろい面がある。残念ながら、標準ユーザーと同レベルの権限があれば、同機能をアンロックするボタンにアクセスできる可能性がある。こうした権限を一般ユーザーにも与えていることは、ファイアウォールにおけるセキュリティ・ポリシーの有効性を損なう弱点となる」
この記述に関するパディリャ氏のコメントは得られなかったが、シマンテックのセキュリティ研究グループで開発担当マネジャーを務めるハビエル・サントヨ氏は、「マイクロソフトは、ユーザー・アカウント制御(UAC)によってファイアウォールを強化できたにもかかわらず、そのチャンスを生かさなかった」と述べた。
Vista のファイアウォールは、ユーザーがアンロック・ボタンをクリックしないかぎり、サードパーティのネットワーク・トラフィックと、信頼できないトラフィックをすべてブロックする。だが、サントヨ氏によると、このボタンを密かにクリックするマルウェアを簡単に作成できることが問題だという。「SendMessage APIを使えば、この機能を自動化できる」と同氏は説明する。
サントヨ氏は、実在するユーザーがアンロック・ボタンをクリックした場合のみ、インターネット・アクセスを許可するという仕組みにするべきだと主張する。「マイクロソフトは、インタラクティブなユーザーだけがボタンをクリックできるよう設計することもできたはずだ」(同氏)
ファイアウォールをくぐり抜けようとするマルウェアの目的は明白だ。悪質なコードをPCにダウンロードさせたり、感染したPCをスパム・ゾンビやDoS攻撃に使う攻撃者のトラフィックを隠したりするためだ。
パディリャ氏も研究リポートの中で、「攻撃者がファイアウォールのアンブロック攻撃を遂行できれば、ボット・プログラムに通常備わっている大多数の機能を利用できる」と記している。
「攻撃者はこれを試すと思う。実装するのはさほど難しくない」と、サントヨ氏は話す。
なお、マイクロソフト幹部と連絡がつかず、この件について同社のコメントは得られなかった。
(グレッグ・カイザー/Computerworld オンライン米国版)
米国シマンテック
http://www.symantec.com/
提供:Computerworld.jp
