セキュリティウィーク40:WinRARの「脆弱性」騒ぎ、Firefoxの古いバグ、MSのうっかり更新

2015年10月23日

情報セキュリティの問題がなくなったらどうなるでしょう。当社のニュースブログThreatpost.comは子猫専門のニュースダイジェストになってしまうのでしょうか?そんな明るい未来は来るのでしょうか?おそらく来ますね、IT業界の進化の速さを考えれば。今は、赤ん坊の歯が生え始めた時期です。痛みやむずがゆさを感じますが、いったん歯が出てしまえば、明るい未来が待っています。
security-week-40-featured

いつかは、情報セキュリティに対して、もっと責任ある、大人の対応を期待できるようになるはずです。インターネットは実体を伴わないだけで、実世界の縮図のようなもの。実にさまざまな人がいます。ガレージにこもってGoogleを発明しようとする天才もいれば、自らの大義のために戦う大企業もありますし、普通の人も住んでいます。そしてもちろん、こういった人々を片端から利用しようとする輩も。サイバー犯罪者を手こずらせる方法はあっても、永久に追放することなどできるのでしょうか?

こんなことを考えたのは、ある興味深い事実がきっかけでした。ちなみに、ここ最近で最も人気のあったニュース(Firefoxのバグに関するニュース)は情報セキュリティとはまったく、いや、ほとんど関係ありません。しかし、Threatpostの読者の皆さんの注目を集めたニュースでした(編集者は面白い子猫の写真を試してみるべきです、本当に)。2つ目のニュースは脆弱性についてですが、この脆弱性は、存在しないようなものです。そして3つ目はMicrosoftの更新に関するニュースで、何もせずに消えてなくなりました。

どうやら、今週は何事もなかったようです。ではまず、本当の脅威と理論上の脅威の違いから始めましょう。その前に、毎度おなじみの前口上から。毎週、Threatpostの編集部が人気のあったニュースを3本選び、それに私が辛口のコメントを付けます。これまでのセキュリティウィークはこちらでご覧ください。

ゼロデイ(っぽい)脆弱性と自己解凍型WinRARアーカイブ

ニュース(英語)。調査結果(英語)。RARLABのフィードバック(英語)。

イラン人リサーチャーのムハンマド・レイザ・エスパーガム(Mohammed Reza Espargham)氏がWinRARの脆弱性を発見しました。それもソフトウェア自体にではなく、そのソフトウェアで作成された自己解凍型のアーカイブに。初めて聞くと、かなり深刻そうです。WinRARにもともと備わっているアーカイブ機能を悪用することで、アーカイブが解凍される時に任意のHTMLコードを実行できます。つまり、インターネットからマルウェアをダウンロードして実行することも可能です。アーカイブのコンテンツは清廉潔白、無害なままで。この脆弱な機能では、画面にテキストを表示したり、入力されたHTMLコードを処理したりします。

WinRARの開発元はこのニュースを認めていません。彼らに言わせると、正しくは「怪しい実行可能ファイルをダウンロードして実行すれば、問題が起きる可能性がある」と説明すれば済む話だそうです。一体、どういうことでしょうか?つまりこれは理論上の脆弱性であり、パッチの適用は不可能なのです。コンピューターは基本的に「実行できるコードはすべて実行する」ものだからです。WinRARチームは別の「ゼロデイ」脆弱性の「概念実証」を引用して、自分たちの正しさを証明しています。自己解凍型アーカイブのコンテンツは、ユーザーの同意がなくても自動的に実行されるように設定されているのです、と。なんたることか! 

security-week-40-kitten

お待ちかねのネコです!

どちらの主張にも一理あります。標準的なツールを標準的でない使い方をすれば、製品のセキュリティに悪い影響が出る可能性があります。暗号化技術は、個人情報の保護に使われますが、ランサムウェアでデータを暗号化する際にも使われます。なので、当社はこのセキュリティ事件の重大度を洋梨色(黄色と緑の中間)と評価しています。

ところで、1つ気になる点があります。WinRARは絶大な人気を誇るソフトウェアですが、他の人気ソフトウェアと違って、定期的な更新は必要ありません。毎月更新が配布されるブラウザーとも異なり、ただ機能し続けるだけです。数年前、Kaspersky Labは、脆弱なソフトウェアをユーザーがどの程度の頻度で更新するのかを調査し、レポート(英語記事)を発表しました。それによると、更新はめったに行われていませんでした。ユーザーの3割が新しいバージョンのJavaに更新するまで、まるまる7週間かかっていました。

当社では以前、WinRAR 3.71の重大な脆弱性(英語)と、それより前のバグ数件を調査しました。このバグは悪用される可能性がほとんどなかったため、当社としては追跡する気はありませんでした。ところが、更新に関するデータをチェックしたところ、この脆弱性を持つバージョンのWinRARが、5年経っても、パッチが適用されないまま、多数のPCで稼働していることがわかりました。

それにしても、パッチを作成する理由なんてあるのでしょうか?どっちにしろ、WinRARに自動更新機能はありません。JavaやFlash、ブラウザーもありますから、サイバー犯罪者がわざわざ貴重な時間を割いて、これだけ長い間使われている由緒正しいプログラムをハッキングすることはないでしょう。もっとも、いつもの標的をハッキングしづらくなったら、話は別かもしれませんが。

Windowsの空アップデート

ニュース(英語)。Microsoftのコミュニティで詳細が明らかにされた時のディスカッション(英語)。

9月30日、何の前触れもなく、Windows Update Centerからわけのわからない情報が届きました。こんな具合に。

gYxseNjwafVPfgsoHnzLblmmAxZUiOnGcchqEAEwjyxwjUIfpXfJQcdLapTmFaqHGCFsdvpLarmPJLOZY

Windows Update Center経由で入手した更新プログラムをきちんと確認する人がいて、予想どおり、この奇特な人が通報してくれました。何やら変なものが現れて、自分自身をインストールしようとしたが失敗し、消えてなくなったと。その後、8月20日にも同じようなことが起きていた(英語記事)ことがわかりました。

security-week-40-update

MicrosoftのWebサイトにあるディスカッション(英語)の画面ショット

その後、Microsoftの広報担当者は、テスト用の更新プログラムが誤って配信されたことを公式に認めました。ですから、皆さん、ご安心を。不安に駆られたのも、ごもっともです。Windows Updateのシステムが不正アクセスされたとなれば、ローランド・エメリッヒ監督も顔負けのデジタル版黙示録が世界中で現実になるわけですから。

考えてもみてください。悪者が無数のユーザーに任意のコードを配布し、ばれないように実行したらどうなるでしょう。幸い、デジタル署名と暗号化があるため、現実味はほぼゼロです。以前の『セキュリティウィーク』でお伝えしたように、WSUSに対するハッキングの可能性は低く、このシステムを根本的に破壊するのは不可能です。

少なくとも、そうなることを祈りましょう。

Firefoxで修正された14年物のメモリ浪費バグ

ニュース(英語)。このバグの一番の犠牲者であるAdblock Plusのブログ投稿(英語)。バグそのもの。

security-week-40-screenshot

一言でいえば、Firefoxは大量のメモリを食いつぶします。バージョン41がリリースされ、旺盛な食欲が抑えられました。特に、AdBlock Plusの拡張機能がインストールされている場合は効果抜群です。問題の原因は、AdBlock Plusとブラウザーとの通信方法にありました。CSSを使用してアドウェアブロックメソッドを処理する際、大量のメモリを確保していました(最大で2GBも!)。

もともと、このバグは2001年4月27日、プレリリース版の0.9.3(英語記事)で見つかりました。同じ年、Mac OS Xの最初のバージョン、Windows XP、iPod第1世代がリリースされました。SATAとUSB 2.0が市場にデビューしたのもこの年です。さらに、V.92モデムのプロトコルが登場し、Microsoftがとうとうクリッピー(日本ではクリッパーと呼ばれていました)を抹殺した年でもありました。大変な年でしたね。

security-week-40-microsoft

このバグは人畜無害です。バグが巣食っていた14年間のうち10年くらいは、Firefoxの開発者とAdblockの開発者の間で責任のなすり合いをしていたのでは?本当に重大な脆弱性なら、普通はさっさとパッチを適用しますよね。

いいえ!古いバグを調べていたところ、こんなもの(英語)を見つけました。Red Hat(と他の一部の)ディストリビューションでは、アップグレードプログラムやインストール済みのソフトウェアが正規のものかどうかチェックされません。このため、悪意あるミラーサイトからプログラムがインストールされたり更新されたりすると、理論上は感染システムを乗っ取りやすくなります。このバグはなんと1999年1月30日に確認されていました!しかも、ミラーサイトの話というよりは、フロッピーディスクの感染に関する話でした。これが解決されたのは(完全に解決されたわけではないでしょうが)、つい最近の2014年8月でした。
security-week-40-84-years

そうです、これこそ、先ほどWinRAR SFXのところで言っていた種類の「バグ」です。それ自体はバグですらありません。「キャンプファイアの中にPCを落としたら、燃えてしまう」といった想定内の出来事です。そもそも、これを解決する気があるかどうかは怪しいところです。おそらく、ときどき、Linuxのセキュリティに関する議論に火をつけるため、関係者がこれをバグトラッカーに入れているのでしょう。このバグは、Linuxのセキュリティに欠陥が存在することを示すのでしょうか?もちろん、違います。

すべての脆弱性に速やかにパッチを適用したところで、データの安全性は保証されないとだけ言っておきましょう。私はこの記事で(英語)、ソフトウェア開発者が平均100~120日もの時間をかけてパッチを作成していることを知りました。もちろん、もっと早くパッチを作成してほしいとは思います。とはいえ、未修正の脆弱性はすべて悪用されるのでしょうか?そんなことはありません。攻撃も潜在的なバグも無数にあるので、すべての脆弱性に対処しようとしてもキリがありません。

ところで、少し前までKaspersky LabのWebサイトには脅威インジケーターがあり、これを見れば、全体的なセキュリティレベルを一目で評価できました。その後、世界終末時計のような外観に変更されました。見た目はインパクトがありましたが、脅威の実態を評価する手段として適切でなかったので、削除されました。

今では、個人や企業がそれぞれ独自のレベルの対策を講じていますが、対策の度合いは全体的な「ハッキングのしやすさ」、攻撃対象となるデータの価値、セキュリティに対する意識の高さ、などに左右されます。

その他のニュース:

今週は非常に多くのニュースがありましたが、特にこれといったものはありません。

AndroidのStagefrightエンジンに新たな脆弱性が発見されました(英語記事)。今年の夏の初め、この類いで初となる脆弱性が見つかりましたが、こちらはMMS経由で悪用されるバグでした。新たに見つかったバグでは、特別に細工されたページをブラウザーで開くと任意のコードが実行されます。問題は、マルチメディアファイルのメタデータ処理にあります。

Mac OS X(El Capitan)で101件のバグが修正されました(英語記事)。また、iOS 9.0.2では、(Siri経由で)ロック画面をバイパスするバグにパッチが適用されました(「Hey Siri、表を削除して!」)。

長い間、TrueCryptに埋め込みコードが存在するかどうか調査されましたが、何も見つかりませんでした。ところが今になって、バグ(英語記事)が見つかりました。暗号化されたデータを復号できないというもので、TrueCryptを利用してリモートから権限を昇格される可能性があります。この欠陥は、TrueCryptのスピンオフ、VeraCryptで解決されました。

モバイルデバイスはDDoS攻撃に利用できます。この場合、標的サイトで悪さをするJavaScriptのバナーを、悪意ある広告ネットワーク経由で持ち込めることが前提です(英語記事)。興味深いことに、このような攻撃にはコストがかかります。適切なDDoS対策をとっていれば問題ありませんが、対策をしていない場合はかなりの確率でその影響を受けます。

懐かしのあれこれ:

Bebe

非常駐型の危険なウイルス。カレントカタログの.COMファイルに感染します。ファイルのサイズを、あるパラグラフの倍数まで増加させてから、自身をファイルの末尾にコピーし、先頭の14バイトを変更します(PUSH AX;…; JMP FAR Loc_Virus)。自身は非常駐型でありながら、常駐型プログラムを作成します。ウイルス本体の一部を割り込みベクタテーブルの0000:01CEにコピーし、1Ch割り込み(タイマー)を設定します。しばらくすると、スクリーンに次のようなメッセージが表示されます。

VIRUS!

Skagi ‘bebe’>

キーボードから「bebe」と入力すると、「Fig Tebe」(ロシア語で「馬鹿野郎」の意味)という応答が戻ってきます。どうやらウイルスの原産国をほのめかしているようです。このコードには誤りがあり、DTAを元に戻しません。そのため、PCの速度が低下することがあります。また、Intel 80×86プロセッサのパイプラインが考慮されておらず、現在のコマンドの次のコマンドを変更してしまうため、非常に古いモデルのIBM PCでしか動作しないという欠陥もあります。前述のテキストのほか、*.COMの行も含まれます。

infosec-digest-32-book-300x300

1992年、ユージン・カスペルスキー著『Computer viruses in MS-DOS』(MS-DOSのコンピューターウイルス)60ページより引用。

注意:この記事は著者の個人的見解を反映したものです。これはKaspersky Labの見解と一致していることも、一致していないこともあります。運次第です。