【 ここから本文 】

VoIP

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

[世界]
Skype、脆弱性対応でビデオ共有サイトとのリンクを当面停止に

サービス再開は修正パッチの配布後

(2008年01月24日)

 ルクセンブルクのSkype Technologiesは1月23日、ユーザーのPCを乗っ取る新たな方法をセキュリティ研究家が発表したことを受け、IP電話ソフトウェア「Skype」のビデオ・アクセス機能を停止する措置をとったと発表した。

Aviv Raff氏がブログに投稿した、Skypeの脆弱性を示すビデオ

 今回の措置は、イスラエル在住のセキュリティ研究者であるアビブ・ラフ(Aviv Raff)氏が、Skypeに潜む「クロスゾーン・スクリプティング」の脆弱性を1週間前に報告したことに伴うものだ。

 この脆弱性は、Skypeのパートナー2社のうちの1社であるビデオ共有サービス「Dailymotion」に対して、悪意あるビデオをアップロードすることでトリガーされるという。Raff氏の報告を受け、Skypeは17日にDailymotionへのアクセスを一時無効にした。修正パッチはまだ完成していないと見られる。

 Raff氏は22日、Skypeのもう1つのビデオ共有サイト「Metacafe」の脆弱性を突くことで、さらに危険な攻撃も可能になると発表した。同氏はこの攻撃に関しコンセプト証明(PoC:Proof-of-Concept)のエクスプロイト・コードも作成したが、先週公開したDailymotionのPoCコードのときとは異なり、一般公開はしなかった。

 PoCコードを公開しなかった理由について、Raff氏はブログで次のように説明している。「このPoCコードは、Webサイトにアクセスしたり、インスタント・メッセージのアプリケーションからリンクをクリックしたりするだけで実際にトリガーされる。つまり、この脆弱性はワームの侵入を許してしまうのだ。MetacafeのPoCコードを公開しなかったのも、また具体的なビデオを見せなかったのも、そういう理由からだ」

 22日夜に電子メールでのインタビュー取材に応じたRaff氏は、この新しい攻撃ベクタをSkypeに報告したところ、Metacafeへのアクセスが最初のうち停止され、その後どういうわけか再開されたと述べている。そして23日朝、SkypeとMetacafeのリンクが再び切断されたそうだ。「Metacafeの再開はおそらく誤動作で、本来の意図ではなかったようだ」と同氏は語った。

 Skypeは23日、Raff氏の新たな指摘に対応するとともに、ビデオ共有サイトとのリンクを切断したことをユーザーに通知するため、前週のセキュリティ・アドバイザリを改訂した。

 改訂版のブレチンには、「Skypeは公式フィックスが完成するまで、ギャラリーからビデオを追加する機能を完全に停止した」と記されている。これにより、Skypeユーザーは当面、「Add video to mood」(ムードにビデオを追加)や「Add video to chat」(チャットにビデオを追加)機能でDailymotionやMetacafeからビデオを取り込むことはできなくなる。

 Skypeは修正パッチのスケジュールを明らかにしていない。この脆弱性はWindows版Skypeのバージョン3.5および3.6に存在するとされているが、Raff氏によるとフィックスは簡単なはずだという。「Local Zoneをロックダウンするようレジストリを変更すれば済む話だ。ただ、下位互換性を維持するためには、ほかにも若干変更が必要かもしれない」と、Raff氏は電子メールで回答した。

 Skypeの広報担当ヴィル・アラク(Villu Arak)氏は、ビデオ共有サイトへのリンクをそのうち再開すると約束した。同氏は23日、Skypeのセキュリティ・ブログへのアップデートで、「公式フィックスが完成したら、すぐにでもDailymotionおよびMetacafeとのアクセス機能を有効にしたい」と述べている。

 だが、同社は別の研究者が明らかにした問題にはまだ対処していない。英国で脆弱性をテストしている研究者、ペトコ・ペトコフ(Petko Petkov)氏によると、Skypeのトラフィックの中には広告など暗号化されていないものが含まれており、それを公共のWi-Fiホットスポットなどで乗っ取れば、大量の悪意あるコードを一般のSkypeユーザーに送り返すことができるという。

 とはいえ、Petkov氏が指摘した問題にはRaff氏のフィックス案が対応してくれるはずである。Petkov氏の問題も、ビデオ・ベースのエクスプロイトを可能にする「Internet Explorer」のWebコントロールと不十分なセキュリティ・プラクティスに起因するからだ。

(Gregg Keizer/Computerworld オンライン米国版)

関連記事

▲ページの先頭へ戻る

注目のリポート/ホワイトペーパー

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

企業の持続的な成長のためには、サプライ・チェーンの最適化が不可欠

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

現在のプロセス状況を可視化し、改善ポイントを見つけることがカギ

「UTM」実践導入ガイド

「UTM」実践導入ガイド

巧妙化するあらゆる攻撃からネットワークを守る

「リアルタイムLANアナライザ」とは?

ネットワーク・トラブルにまつわる諸問題を解決する「リアルタイムLANアナライザ」とは?

高いコスト・パフォーマンスと操作性――最新製品に備わる特徴と機能

Windows Server 2008 対応製品(ソフトウェア関連)

SOA/BPM 関連製品

注目のトピック

ワークスタイル革新[New]
業務生産性の向上とワーク・ライフ・バランスの実現を目指して
事業継続マネジメント(BCM/DR)[Update]
万全のBC/DR基盤を構築し企業の信頼を高める
マルチコア・コンピューティング[Update]
ITインフラを最適化しパワーを最大限に生かす
グリーンITの戦略的価値
“環境マネジメント”の視点でITを最適化する
仮想化の“真実”
IT革命を支えるテクノロジー
データセンター革新
次世代ITインフラをいかに構築すべきか
ビジネス・インテリジェンス最新事情
組織と“個”の知的生産性を高める
セキュリティ・マネジメント[戦略と実践]
内外の脅威から企業を守る
Windows Server 2008 World
新世代プラットフォームの実力を探る
コンプライアンス総点検
法令順守の実態を把握し、万全の対策を!
SOAがITを変える
企業はどう備えるべきか
ITIL活用最前線
ITILでビジネスとITを変える
データ・マネジメント
新時代の情報/データ管理基盤を構築するために

Weekly Ranking

集計期間:11/26〜12/02

トピック一覧

ニュース特集

セキュリティ

ソフトウェア&サービス

経営/業務改革

ITマネジメント

データ・マネジメント

プラットフォーム

IT基盤技術

ハードウェア

ネットワーキング

トレンド

IT業界動向

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国