シマンテック、ソースコード漏洩で「pcAnywhere」の使用中止を呼びかけ/index/rss|セキュリティ・マネジメント|トピックス|Computerworld

SymantecではpcAnywhere v12.0、v12.1、v12.5のすべてにリスクの可能性があるとしている（日本語発表文（PDF）より）

　米国Symantecは今週、リモートアクセス・ソフトウェア「pcAnywhere」の使用を中止し、アンインストールするようユーザーに呼びかけるという、極めて異例の措置をとった。同製品のソースコードが漏洩し、ハッカー集団の手に渡ったためだ。

　pcAnywhereは、外出先からオフィスのPCを操作する場合などに使われるリモートアクセスのソフトウェアだ。

　Symantecの発表は歯切れの悪いものだった。

「既知の脆弱性リスクを修正するソフトウェア・アップデート群がリリースされるまでの間、Symantecは同製品（pcAnywhere）の使用を中止することを推奨する」（1月23日発表のPDFより）

　脆弱性テストなどを手がける米国Rapid7のCTO（最高技術責任者）、HDムーア（HD Moore）氏は、Symantecのような大手企業がこうした動きをするのは「前代未聞」だと語る。

　「自社が販売した製品について、Symantecクラスの規模の企業が使用中止を呼びかけるというのは聞いたことがない。特に（pcAnywhereは）多数のユーザーがリモートアクセスに必要としている製品なのに」（ムーア氏）

　また、nCircleのセキュリティ運営ディレクターであるアンドリュー・ストームス（Andrew Storms）氏は、「今回の事件は間違いなく、新たなタイプのセキュリティ侵害の先例となった」と指摘している。

　ソフトウェアにバグや脆弱性が存在することは、それほど珍しいことではない。それが使用中止の呼びかけにまで至った背景には、2006年に起きた複数製品のソースコード流出事件と、最近になって活発化しているハッカー集団「Anonymous」の活動がある。

　Symantecは先週の1月17日、同社のネットワークが2006年にセキュリティ侵害を受けていたことを認めた。さらに今週の23日になって、pcAnywhereを含む幾つかの製品のソースコードがその際に盗み出されていたことを再度発表した。

　「Symantecは、ソースコードの一部が不適切なアクセスを受けたことを確認しました」（発表文「Symantecのソースコードに関するAnonymousの主張について」より）

　今月初めには、「The Lords of Dharmaraja」というハッカー・グループの一員を自称する「Yama Tough」を名乗る人物が、Symantecから盗み出した情報の一部を公開した。その後、この人物はpcAnywhereのソースコードをハッカー・コミュニティ内で配布しているとも述べた。

　どうやらここにAnonymousが含まれていたらしい。

　「The Real Sabu」を名乗るAnonymousの活発なメンバーの1人は、1月16日にTwitterで次のように発言した。

　「Lords of Dharmarajaは、ゼロデイ略奪のためにSymantecのソースコードを#antisec（訳注：ハッカー集団）に送った。――すべてのNU+PCAnywhereユーザーは我々の支配下にある。間もなくリリースだ」（「The Real Sabu」氏のツイートより）

Symantec製品の一部のソースコードがハッカー集団の手に渡った。上記発言の「NU」は、pcAnywhereと共にソースコードが盗み出された「Norton Utilities」のことだ（「The Real Sabu」氏のツイートより）

　さらに「The Real Sabu」氏は1月23日、「我々が、認証をすり抜けるために（pcAnywhereの）クライアント・ソフトをリバース・エンジニアリングし、企業のpcAnywhereサーバをのっとっているため、彼ら（Symantec）は動揺している」とも発言している。

　Symantecは、幾つかの製品でソースコード漏洩が発生したが、中でもpcAnywhereが最も危険であると述べている。

　「pcAnywhereのエンコードおよび暗号化のエレメントに脆弱性が存在する。この脆弱性により、同製品の設定中や使用中に、中間者攻撃（MITM：Man-in-the-Middle）が生じる可能性がある。中間者攻撃が行われた場合、攻撃者はセッション・データやクレデンシャル（アカウント情報）を窃取できる可能性がある」（1月23日発表のPDFより）

　さらに同社は、pcAnywhereが使用する暗号鍵を入手した攻撃者は、pcAnyshereが稼働しているPCに認証なしで不正にリモートアクセスすることができると付け加えている。仮にこの攻撃が成功すれば、攻撃者はターゲットのPCを自由に操作することが可能で、ほかのシステムにもネットワーク経由でアクセスできてしまうことになる。

　上述の発表PDFを読んだムーア氏は、「わたしの直感では、通信データを保護する暗号鍵がハード・コーディングされており、それがソースコード内で読める状態になっているのだろう」と述べた。「（そのために）この脆弱性を悪用することで、認証情報を含むpcAnywhereのトラフィックを誰でも読み取れてしまい、不正アクセスができてしまうのだ」（同氏）。

　Symantecでは、pcAnywhereを利用しているユーザー向けに、pcAnywhereを無効にする、あるいはアンインストールする方法を詳しく説明している。さらに、pcAnywhereの修正パッチもリリースされている。

　同社ではすでに、2つの脆弱性を修正するパッチをリリースしている。さらに、今後もpcAnywhereの安全性が十分であると確認されるまで、引き続き修正をリリースしていくと述べている。ただし、Symantecの広報担当者は、この修正がすべて完了するのはいつになるかは予測できないと述べた。

（※訳注：なお、シマンテック日本法人の「シマンテック製品のソースコード一部開示について」ページでは、pcAnywhereの利用に関して「従来から推奨しているVPN環境でのご利用を確実にお願いします」と述べられている）

(Gregg Keizer／Computerworld米国版)