5月 19

「ウイルスバスター2009 におけるキー入力暗号化機能に関する脆弱性」に関するメモ

先日、公表された「ウイルスバスター2009におけるキー入力暗号化機能に関する脆弱性」についていくつかのメディアでも取り上げていただきました。公表当日(2011/05/17)とその翌日にもリアルタイム検索をしてみたところ色々な反応があったので発見当時の記憶と残っているメールなどのデータを辿りながらこの脆弱性と発見の経緯について簡単に説明したいと思います。

お世話になっている知人からのメールの中に
「新しいウイルスバスター(2009のこと)にはLocalSSLというキーロガー対策機能があるらしいですが少々気になっています。」
といった内容と記事へのリンクがありました。

これがきっかけでボクも気になりはじめてしまい
ウイルスバスター2009の体験版をダウンロードして
手前味噌なテスト用(キー入力を記録するのみでどこかに送信するといったような機能は有していません。)キーロガーを作成し検証してみたわけです。

そのときに発見したことは以下の2点

①全くの平文でキー入力情報が取得できる場合がある。
②一部の情報が取得可能な場合がある。(今回公表された脆弱性)

①についてボクが記事の勘違いであるということがトレンドマイクロ社のニュースリリースを読んで分かりました。

キー入力暗号化
ブラウザ上でキー入力したパスワード情報を入力と同時に暗号化することにより、パスワード情報の漏えいを防止します。

キーロガー対策と頭にあったのですべてのブラウザへのキー入力が暗号化されるものと勘違いしちゃっていたわけです。
「キー入力した”パスワード”情報」ということなので入力フィールドにパスワード属性(input type=”password”)がついているもののみが暗号化の対象になるということだったのです。
なので、例えば、ユーザ名のところは基本的に暗号化の対象にはならないということだったんですね。
きちんと調べていなかったボクもボクなのですが、全部暗号化されていると思っている方も多かったりして。
とか思いながら軽めの反省をしました。

次にメインの②です。

どのように
「キー入力されたパスワードの一部が暗号化されない」
かということを説明します。

ボクの作成したテスト用のキーロガーでは、はじめ、入力を行っても何も表示されませんでした。
しかし、諦めかけたときに1文字だけキーロガーが拾ってきました。(忘れもしない「s」という文字でしたw)
そのときに入力していた文字列は「password」。

この事象から、「もしかして:たまに漏れる?」と思ったわけです。

そこで色々なキーを押しっぱなし(長押し)でテストしてみると
その文字がダダダダっとテスト用キーロガーに表示されました。
(長押しでssssssssssと入力するとsと表示されるといった具合)

何文字かに1文字、入力のタイミングで漏れる場合がある。といったレベルです。

なので、ボクは脆弱性としてはそれほど大きなインパクトではないとボクは思っています。
「なーんだ。その程度かー」と思いました?w えぇ。その程度なんですw

届出をした理由は、キーロガー対策といいつつタイミングによって漏れるのはちょっと…
と思ったためです。

この脆弱性の情報を取り上げていただいているメディアの中には
ちょっと大げさになっているかも。と思えるものもありました。
例えば「CNET Japan」。

「ウイルスバスター2009」に脆弱性–パスワードが平文のまま漏えいする可能性

これ、タイトルだけだとウイルスバスターが原因でパスワードが漏れちゃうかのように感じてしまいますよね。
Twitterを見ていても各メディアの記事を読まれた方の中には
非常にインパクトの大きなヤバい脆弱性のように感じた方のためにも
内容をある程度、明らかにして判断いただければと思い、このエントリを書かせていただきました。

これは、1つ目の理由。

それでは、2つ目の理由ですが
メディアの記事では書かれていないのでTwitterでもつぶやいたのですが
この脆弱性は最近発見したものではないということを明示しておきたかったからです。

届出を行ったのは
2008年9月30日(火)です。
届出から公表まで2年8ヶ月ほどですね。

ウイルスバスター2009の発売が
2008年9月19日(金)
サポートの終了が
2010年12月31日(金)
ですので、この脆弱性は製品のサポート期間の殆どにおいて
一部関係者の間では存在が明らかになっていたということになります。

ボクの届出内容がうまく伝わっていなかったのか。
調整に時間がかかってしまったのか。
対応できない已むに已まれぬ理由があったのか。

なぜ、公表まで長い時間がかかったのかは
ボクから見える範囲だけでは判断できません。

ただ、結果的にちょっぴり残念な事実としてここに残しておきます。

今回の件を経験して
JVNのページには公開日、最終更新日だけではなく届出日もあるといいなぁと思いました。




Posted 2011年5月19日 by ntsuji in category "memo