システムの安全を維持するために、ほとんどのPCユーザーがウイルス対策ソフトを利用している。ところが、そのウイルス対策ソフトが攻撃の糸口になろうとしているという。

Internet Security Systems(ISS)のNeel Mehta氏は、「OSのコアがセキュアになるにしたがって、攻撃者は視野を広げて、これまでとは違ったターゲットを狙い始めている」と警告する。中でもウイルス対策製品は、攻撃者が進入の経路として利用可能で、幅広いプラットフォーム向けの製品が用意されている。またウイルス対策ソフトを含む、セキュリティ製品を利用した攻撃は、攻撃者の征服感を満足させる面もあると指摘する。

同氏は、セキュリティ研究者のAlex Wheeler氏と共に、主要ウイルス対策製品の安全性を検証している。そこで両氏はウイルス対策ソフトに対するセキュリティ意識を高めることを目的に、ここ最近の調査結果をまとめたレポートをBlack Hat Briefingsで発表した。

調査は、構造、安定性、0-Day対応、メモリ利用などをポイントに行われている。レポートは、Symantec、McAfee、TrendMicro、Computer Associates、F-Secure、Sophos、ClamAVなど主要なウイルス対策ソフト別に行われた。過去にISSのX-ForceグループがSymantec、McAfee、Trend Micro、F-Secureなどの製品で、オーバーフローを仕掛けられる可能性を指摘したのを始め、すべてのソフトについて過去1年の間に悪用可能な脆弱性の報告が行われている。

新たな脆弱性としては、Rem0te.comが発見したSophosやClamAV製品の脆弱性が報告された。Sophosについては、ヒープオーバーフローの脆弱性である。報告を受けたSophosは、すぐに修正スケジュールを発表。Sophos Anti-Virus version 3.96.0/4.5.4、Sophos Anti-Virus Small Business Edition(Windows)は対応済みで、その他の製品についても2週間以内の対応を約束している。

ClamAVは、TNEF、CHM、FSGなどの形式のデータを処理する際に、整数オーバーフローの可能性があるという。すでに7月25日に修正が行われている。

脆弱性やバグの指摘に対して、主要ウイルス対策ソフトが迅速に対応している点は高く評価されている。だが、セキュリティ製品への攻撃が激化すれば、修正までの時間や0-Day攻撃対応に差が現れる可能性がある。ユーザーにとっては"セキュリティ製品のセキュリティ対策"が、今後のソフトウエア選びのポイントになりそうだ。またユーザー自身もウイルス対策ソフトを入れているからと安心せず、こまめなアップデートを実施しないと、ウイルス対策ソフトが悪意のあるプログラムの実行の原因になり得るのが現状だ。

Wheeler氏は最後に、ウイルス対策ソフトを調査する側の今後の強化点として新フォーマットと製品管理を挙げた。