IMアプリケーション「Trillian」に脆弱性--研究者らが報告

Matt Hines(CNET News.com) 2005年03月28日 12時53分

  • このエントリーをはてなブックマークに追加

 インスタントメッセージング(IM)アプリケーション「Trillian」における脆弱性が研究者らによって報告された。研究者らは、IM関連のセキュリティに対する脅威が急速に拡大していることも、あわせて指摘した。

 LogicLibraryの研究者らは、Cerulean Studios製IMクライアントTrillianが潜在的に持つ脆弱性を発見したと報告した。LogicLibraryは各種ソフトウェア開発ツールを作成しているベンダーで、製品のなかにはアプリケーションのバグを試験段階で発見するプログラムも含まれる。

 LogicLibraryによると、攻撃者はこの脆弱性を悪用することで、Trillianを実行するコンピュータ上で稼働しているプログラムを終了させたり、オペレーティングシステムを完全にコントロールしたりするなど、あらゆる操作が可能になるという。

 Trillianは、America Online、Microsoft、 Yahooなどの複数プロバイダが提供しているIMクライアントからの接続を1つのインターフェースで扱うことを可能にする。このソフトウェアの脆弱性についてLogicLibraryは、最新版であるTrillian3.1におけるバッファオーバーフロー問題が主な原因となっていることを述べた。LogicLibraryによると、この問題は、このIMソフトウェアのTrillian2.0リリースでLogicLibraryが最初に発見し、Ceruleanに報告をしている脆弱性から派生しているという。

 LogicLibraryは、2003年から問題に関してCeruleanと連絡を取り合ってきたが、新しいバージョンのTrillianではソフトウェアの脆弱性が完全に除去されていなかったようだと述べる。LogicLibraryでは、Trillian2.0を脆弱にしていたのと同じコードがTrillian3.1に直接コピーされていると考えている。

 LogicLibraryの関係者は、この脆弱性を悪用するように設計された攻撃について、実例はまだ報告されていないと述べた。

 Ceruleanの共同設立者Scott Werndorferは、バッファに関連したこの脆弱性によるリスクは「非常に低い」と語った。News.com宛に米国時間25日に送付されたメールでWerndorferは、攻撃者がTrillianユーザーに攻撃を仕掛けるためには、その目的のためだけに偽のIMソフトウェアクライアントを作成する必要があると述べた。さらに、攻撃者が脆弱性を利用するためには、自作のクライアントからのメッセージリクエストをユーザーが受け付ける必要があると続けた。

 LogicLibraryは、Trillianの脆弱性に関する報告とともに、急激に拡大している懸念についても指摘している。電子メールシステムにおける対策が成熟しているため、ハッカーやウイルス製作者はIMを標的にし始めている。2005年に入ってから、様々なIMアプリケーションを標的とした脅威が出現しており、その数は10件を上回る。また、その一部においては攻撃の仕組みが精巧になってきている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化