223件もの脆弱性をトレンドマイクロの製品に見つけたと専門家が指摘

by Yohann Legrand

2人のセキュリティ専門家がトレンドマイクロの製品を調べて、半年の間に11の製品について223件の脆弱性を見つけていたことが分かりました。このうち194件は、ユーザーの操作によらずリモートでコードを実行可能な、重大な脆弱性だとのこと。

Hackers Tear Apart Trend Micro, Find 200 Vulnerabilities In Just 6 Months
http://www.forbes.com/sites/thomasbrewster/2017/01/25/trend-micro-security-exposed-200-flaws-hacked/

More than 200 vulnerabilities found in Trend Micro security products
http://searchsecurity.techtarget.com/news/450411761/More-than-200-vulnerabilities-found-in-Trend-Micro-security-products

脆弱性を見つけたのはRoberto Suggi氏とSteven Seeley氏で、最初の報告は2016年7月29日でした。そこから約半年の間に2人はトレンドマイクロの11の製品で、合計223件の脆弱性を見つけました。

特に、データロスを予防するツールの脆弱性はネットワークを危険にさらすもので、2人によると、ソフトウェアを走らせているサーバーのコントロール権を得て、接続されているコンピューターやその他のクライアントに悪意のあるアップデートを配信することもできる状態だったとのこと。

同様に、ネットワーク保護ソフトであるInterScanでもネットワークに危険を及ぼす脆弱性が見つかっています。

これらの根本的な弱点となっているのは「最悪のタイプのクロスサイトスクリプティング(XSS)」であると2人は指摘しています。

一方で、トレンドマイクロは反応自体は迅速だったものの、指摘された脆弱性の大半を重要なものではないと判断。また、一部についてはパッチをリリースしたものの、Seeley氏からすれば回避の容易な「とてもひどいもの」だったそうです。ディレクターのジョン・クレイ氏はサーバー向けのDeep Securityシリーズやエンドポイントセキュリティ製品には脆弱性は見つからなかったと説明しています。

サリー大学のデジタルセキュリティ専門家、アラン・ウッドワード教授は「この種の問題があるのは、トレンドマイクロに限ったことではありません」と指摘。セキュリティ会社Varacodeのクリス・エング氏も「セキュリティソフトの試験だけでは問題を100％見つけることはできません」と語り、今回の多数の脆弱性報告は驚くようなものではなく、だからこそセキュリティソフト会社はユーザーからの信頼を得られていないと指摘しました。実際、GoogleのTavis Ormandy氏はシマンテック製品の脆弱性を指摘しています。

Suggi氏とSeeley氏は、今回の「功績」について2017年4月にアムステルダムで開催されるセキュリティカンファレンス「Hack In The Box」で発表を行う予定だとのことです。