AIMに深刻な脆弱性。高まるIMセキュリティの懸念

AOLのIMソフトでセキュリティホールが発見された。この脆弱性は既に修正済みだが,これを悪用すれば危険なワームを作成することも可能だという。

【海外記事】 2002年1月7日更新

 AOL Time Warnerは1月3日,インスタントメッセージ(IM)アプリケーションのセキュリティホールを修正した。このセキュリティホールを利用すると,破壊力のあるワームを広範囲に拡散することができると,専門家は話している。

 修正はサーバ側で行われたため,ユーザーはパッチをダウンロードする必要はない。このセキュリティホールは,AOL Instant Messenger(AIM)のバージョン4.7と,バージョン4.8のベータ版で見つかったもの。影響を受けるのはWindows上でこれらのAIMを走らせているユーザーのみ。

 「ユーザー側で対処する必要はない。また当社の知る限り,この問題の影響を受けたユーザーはいない」と,AOLのスポークスマン,Andrew Weinstein氏は語る。

 今回のセキュリティホールは,IMのセキュリティに注目が集まる中で発見された。ウイルス/ワームの作者は,感染を広げる手段として電子メールを好んで利用しているが,ユーザーが増加していることで,IMはますますこれらアタッカーの興味を引いている。

 この問題は,非営利の国際セキュリティ対策チームを自称するw00w00.orgのメンバー,Matt Conover氏が警告文を投稿したことで明るみに出た。同氏はローガンのユタ州立大学でコンピュータサイエンスと数学を専攻している。

 同氏は警告文で,これをコンピュータセキュリティで最も多く見られる欠陥の1つ,バッファオーバーフローの問題だと説明している。この問題は,アプリケーションが処理しきれない量のコードによってクラッシュした際に起きるもので,今回の場合はAIMのゲームリクエスト機能に影響する。バッファオーバーフロー攻撃では,悪意を持って書かれた余分なコードが,ターゲットコンピュータ上で実行されることがある。

 Conover氏は,今回見つかったセキュリティホールを悪用して,Melissa,ILoveYou,Code Red,Nimdaといった,Microsoftの電子メールソフト「Outlook」やWebサーバソフト「Internet Information Server」(IIS)の脆弱性を悪用する破壊的なワームに匹敵し得る自己拡散型ワームを作り出すことが可能だとして,注意を促している。

 「そのようなワームを,自身をWebからダウンロードしたり,メンバーリストのユーザーを次のターゲットにして,攻撃を仕掛けられるように作り替えるのは簡単だ。社会的ネットワークの性質と構造を考えると,そのような攻撃が蔓延するまでに,そう時間はかからないだろう」(同氏)

 セキュリティ専門家は,以前にもIMソフトで脆弱性が発見されているが,今回のものはこれまでで最も深刻だとしている。IMは電子メールのアドレス帳のように,「メンバーリスト」という新たな犠牲者となるユーザーのリストを備えるため,ウイルスを媒介する危険性があると考えられている。

 「誰かがこの脆弱性を悪用して,脆弱なシステム上でプログラムを実行する可能性がある」と,SecurityFocusのCTO(最高技術責任者),Elias Levy氏。「最悪の場合,この脆弱性を利用して感染を拡大するワームが登場するかもしれない。ユーザーの多さを考えると,多大な損害がもたらされる可能性がある。多数の企業が社員にIMの使用を認めているため,企業のファイアウォールを突破するためにこの脆弱性が悪用される可能性もある」

 AIMは,Webで最も人気の高いアプリケーションの1つで,登録ユーザー数は100万人を超えている(ただし,1人のユーザーが複数のハンドルネームで登録している場合もある)。その中でバージョン4.7とバージョン4.8ベータ版を利用しているユーザーはそれほど多くないが,Conover氏は,AOL Time Warnerが品質管理のプロセスでこの脆弱性を見落としたことを批判している。

 「AOLが責任の重さを理解し,より良いソフト開発手法を用いるべきだということが初めて示された」と,Conover氏は警告文で述べている。

 「多数のユーザーが利用する製品のデベロッパーは,もっと慎重に開発を進め,十分にテストの時間がとれないときは,多くの機能を詰め込みすぎないようにするべきだ」(同氏)

 AOL Time WarnerはConover氏の批判について,コメントを控えている。

関連記事
▼ AIMのセキュリティホール,公表の経緯
▼ IM,新たなサイバー攻撃のターゲットにも
▼ セキュリティ専門家,IMサービス使用による脆弱性の増加を警告
▼ ウイルスが次に狙うのはIM

[Paul Festa & Jim Hu,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.

モバイルショップ

最新スペック搭載ゲームパソコン
高性能でゲームが快適なのは
ドスパラゲームパソコンガレリア!

最新CPU搭載パソコンはドスパラで!!
第3世代インテルCoreプロセッサー搭載PC ドスパラはスピード出荷でお届けします!!