米Symantecは「Norton SystemWorks」において、
コンピュータに不正なファイルを隠す場所を攻撃者に与えかねないrootkitタイプの機能を使っていたことを明らかにした。
この機能は、ユーザーが誤ってファイルを削除するのを防ぐために
意図的にWindows APIからあるディレクトリを隠すものだったが、セキュリティ専門家からの忠告を受けて、
リスクを取り除くためにSystemWorksのアップデートをリリースしたと同社は認めた。
rootkitタイプの技術を使ってコンピュータ上でファイルを隠していたことが判明して騒ぎになった商用ソフトベンダーは、
Symantecで2社目だ。
rootkitは、リモートユーザーがセキュリティソフトに検出されずに脆弱なシステムにアクセスできるようにするプログラム。
Symantecの広報担当者は、eWEEKに送った発表文の中でSONY BMGの騒動を引き合いに出しつつも、
コンシューマーのリスクは低いとした。
「今の攻撃者が利用している技術を考えて、Symantecは(問題の)ディレクトリを隠すことの価値を見直した。
攻撃者がこれを攻撃ベクトルとして利用する可能性は極めて低いが、
Symantecのアップデートはこのディレクトリを表示することでコンピュータをさらに保護する」
この担当者の説明によると、問題の「Norton Protected Recycle Bin」機能は、
Windows APIから隠される「NProtect」というディレクトリとともに、Norton SystemWorksに組み込まれている。
NProtectディレクトリのファイルは隠されているため、
定期ウイルススキャンや手動ウイルススキャンで検出されない可能性がある。
「これは、攻撃者がコンピュータ上に不正なファイルを隠す場所になる恐れがある」とSymantecは認め、
アップデート版では、これまでWindowsインタフェース上で隠されていたNProtectディレクトリが表示されると述べている。
この脆弱性の危険性は非常に低いものの、SymantecはSystemWorksユーザーに、
保護を強化するためにすぐにアップデートするよう「強く」勧めている。
http://www.itmedia.co.jp/enterprise/articles/0601/12/news047.html