マイクロソフトの「ホワイトリスト」はハッカーに悪用されかねない――トレンドマイクロが警鐘
「ハッカーに情報提供するようなものだ」
セキュリティ・ベンダーの米国Trend Microは12月21日、Microsoftがユーザーに、一部のファイルやフォルダをウイルス対策ソフトウェアのスキャン対象から除外するよう勧めていることについて、「ユーザーを危険にさらすおそれがある」と警鐘を鳴らした。
Microsoftは、同社の「サポート・オンライン」で、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、Windows 2000、Windows XP、Windows Vistaを利用しているユーザーに対し、パフォーマンスを向上させる方法として、一部のファイルやフォルダを、マルウェアを検出するスキャンの対象にしないよう勧めている。
サポート・オンラインには、「これらのファイルは感染のリスクがありません。これらのファイルをスキャンすると、ファイルがロックされて深刻なパフォーマンスの問題が発生する場合があります」と記されている。
Microsoftがスキャン対象から除外するよう勧めているファイルとフォルダは、Windows Updateおよびグループポリシーに関連するものや、「%windir%¥security」フォルダ内にある拡張子が「.edb」「.sdb」「.chk」のファイルなどだ。
Trend Microは、Microsoftがこうしたファイルとフォルダのリストを公開していることに異議を唱えている。同社のマルウェア研究者、デビッド・サンチョ(David Sancho)氏はTrend Microの公式ブログにおいて以下のように指摘している。
「システムを本当に高速化したい場合、Windows Updateやグループポリシーに関連するファイルのチェックをやめるのは理にかなっている。しかし、われわれはそれらのリストが公開されていることについて懸念している」
サンチョ氏は、このリストはハッカーに悪用されかねないと指摘する。
「今のところ、Microsoftの推奨に従うことで重大な脅威にさらされる心配はないが、そうなる危険は非常に大きい。サイバー犯罪者が戦略的に、スキャン対象からの除外を勧められているフォルダのいずれかに、悪意あるファイルを置いたり、ダウンロードしたり、あるいは、除外を勧められているファイル拡張子を使ったりするかもしれない」(サンチョ氏)
さらに同氏は、少なくとも、特定のファイルを安全と見なす「ホワイトリスティング」のマイナス面を理解している経験豊富なユーザーだけが、ファイルやフォルダをセキュリティ・スキャンの対象から除外することを検討すべきだと述べている。
米国nCircle Network Securityでセキュリティ・オペレーション・ディレクターを務めるアンドルー・ストームズ(Andrew Storms)氏も、サンチョ氏のこの見解を支持している。
「セキュリティ・ソフトウェアで何らかのホワイトリスティングを行うことは、平均的なユーザーやスキルにあまり自信がない人には向かないという点で、私もTrend Microと同意見だ」(ストームズ氏)
しかし、その一方でストームズ氏は、Microsoftがセキュリティ・スキャン対象からの除外を勧めるファイル/フォルダのリストを公開していることは、重大な問題ではないとの見解を示している。
「攻撃者がMicrosoftの公開リストを見て、マルウェアを隠す場所を突然変更することはないだろう。マルウェアがファイルシステムのどこに保存されるかは、ウイルス対策ソフトウェアにとって重大な問題ではない。現在、ウイルス対策ソフトウェアが課題としているのは、事後情報によるブラックリスト的なセキュリティ・アプローチをどう改善するかだ。ウイルス対策ソフトウェアは1つの保護レイヤを提供するが、すべての脅威をとらえることはできない」
(Gregg Keizer/Computerworld米国版)
