223件もの脆弱性をトレンドマイクロの製品に見つけたと専門家が指摘
by Yohann Legrand
2人のセキュリティ専門家がトレンドマイクロの製品を調べて、半年の間に11の製品について223件の脆弱性を見つけていたことが分かりました。このうち194件は、ユーザーの操作によらずリモートでコードを実行可能な、重大な脆弱性だとのこと。
Hackers Tear Apart Trend Micro, Find 200 Vulnerabilities In Just 6 Months
http://www.forbes.com/sites/thomasbrewster/2017/01/25/trend-micro-security-exposed-200-flaws-hacked/
More than 200 vulnerabilities found in Trend Micro security products
http://searchsecurity.techtarget.com/news/450411761/More-than-200-vulnerabilities-found-in-Trend-Micro-security-products
脆弱性を見つけたのはRoberto Suggi氏とSteven Seeley氏で、最初の報告は2016年7月29日でした。そこから約半年の間に2人はトレンドマイクロの11の製品で、合計223件の脆弱性を見つけました。
特に、データロスを予防するツールの脆弱性はネットワークを危険にさらすもので、2人によると、ソフトウェアを走らせているサーバーのコントロール権を得て、接続されているコンピューターやその他のクライアントに悪意のあるアップデートを配信することもできる状態だったとのこと。
同様に、ネットワーク保護ソフトであるInterScanでもネットワークに危険を及ぼす脆弱性が見つかっています。
これらの根本的な弱点となっているのは「最悪のタイプのクロスサイトスクリプティング(XSS)」であると2人は指摘しています。
一方で、トレンドマイクロは反応自体は迅速だったものの、指摘された脆弱性の大半を重要なものではないと判断。また、一部についてはパッチをリリースしたものの、Seeley氏からすれば回避の容易な「とてもひどいもの」だったそうです。ディレクターのジョン・クレイ氏はサーバー向けのDeep Securityシリーズやエンドポイントセキュリティ製品には脆弱性は見つからなかったと説明しています。
サリー大学のデジタルセキュリティ専門家、アラン・ウッドワード教授は「この種の問題があるのは、トレンドマイクロに限ったことではありません」と指摘。セキュリティ会社Varacodeのクリス・エング氏も「セキュリティソフトの試験だけでは問題を100%見つけることはできません」と語り、今回の多数の脆弱性報告は驚くようなものではなく、だからこそセキュリティソフト会社はユーザーからの信頼を得られていないと指摘しました。実際、GoogleのTavis Ormandy氏はシマンテック製品の脆弱性を指摘しています。
Suggi氏とSeeley氏は、今回の「功績」について2017年4月にアムステルダムで開催されるセキュリティカンファレンス「Hack In The Box」で発表を行う予定だとのことです。
・関連記事
Googleがログインページの脆弱性を指摘されるも「問題なし」として放置することに決定 - GIGAZINE
14億台ものAndroid端末に通信が傍受される脆弱性が存在することが明らかに - GIGAZINE
Wi-Fiルーターの脆弱性を突いて大規模サイバー攻撃用の巨大ボットネットが形成されていた - GIGAZINE
MMSを受け取るだけでiPhoneの各種認証情報・パスワードを抜き取れる脆弱性が明らかに - GIGAZINE
SSLの脆弱性で日本の大手サイトを含む全世界1100万以上のHTTPSサイトが攻撃を受け得ると判明 - GIGAZINE
・関連コンテンツ