RACK911 Labsは4月20日(現地時間)、ウィルス対策ソフトの挙動とディレクトリ操作を組み合わせた脆弱性について発表した。

　今回発表された脆弱性は、WindowsのディレクトリジャンクションやMacOS X、Linuxのシンボリックリンクなど、ディレクトリやファイルを結ぶ機能を悪用し、ウィルス対策ソフトウェアが自分自身やOSを破壊するというもの。この脆弱性は、ほぼすべてのウィルス対策ソフトで悪用されてしまうものだったという。同社は2018年からセキュリティベンダーに通知し、現在ではほとんどのウィルス対策ソフトウェアで対策が完了しているという。

　原因としては、ウィルス対策ソフトが特権で実行されることにある。このため、悪意のあるファイルをスキャンすると、そのファイルを削除や隔離するが、操作の間のわずかなタイムラグを突き、特権を悪用し、ディレクトリジャンクションまたはシンボリックリンクを通じて競合状態を作り出し、自身やOSを破壊してしまうという。

　同社は、ウィルス対策ソフトであっても悪用されると破壊的なツールになってしまうことに警鐘を鳴らしているが、その他のソフトウェアでも同様の手法が応用できる可能性があるため、注意が必要だとしている。

(川原 龍人/びぎねっと)

[関連リンク]
RACK911 Labsの発表