SYM04-015
2004年10月5日
Symantec Norton AntiVirus： MS-DOS 予約デバイス名の処理方法に関する問題と対応

改編履歴
なし

危険性
低

概要
個人のお客様向けの Symantec Norton AntiVirus 製品は、MS-DOS 予約デバイス名を持つファイルのうち、ユーザのシステム上に配置されているファイルのスキャンを行いません。ユーザのシステムに MS-DOS 予約デバイスファイルを装った悪質なファイルがダウンロードされるか、あるいは、物理的に配置されている場合、そのファイルは実行を試みる前の時点での検出を逃れる可能性があります。

影響を受けるコンポーネント
Symantec Norton AntiVirus 2003
Symantec Norton AntiVirus 2004
Symantec Norton AntiVirus 2005

解説
iDefense 社から、個人のお客様向け Symantec Norton AntiVirus 製品が MS-DOS 予約デバイス名を持つファイルやディレクトリをスキャンする際の問題に関する報告がありました。COM1、CON、LPT1 等のデバイス名は予約語と呼ばれ、ディレクトリやファイルの名前に使用することは意図されていません。事実、初期の MS-DOS や Win 3.x では、これらのデバイス名をディレクトリやファイル名として使用することはできませんでした。しかし現在では、Win32 システム上で予約デバイス名を使用したディレクトリやファイルを作成する方法が存在します。それらのディレクトリやファイルには悪質なコードが含まれる可能性がありますが、個人のお客様向けの Symantec Norton AntiVirus 製品は現在、手動、自動を問わず、スキャンの実行時にこのタイプのファイルをスキャンしません。攻撃者がこのような悪質な構成のファイルを標的のシステムに持ち込むためには、標的のユーザを誘導して悪質なファイルが含まれる場所にアクセスするよう仕向けるか、あるいは、悪質なファイルをアップロードまたは転送するために標的のシステムへアクセスすることが必要条件となります。

シマンテックの対応
弊社は、現在サポート対象となっている個人のお客様向け Symantec Norton AntiVirus の全バージョンに対し完全検査を実施しました。検証の結果、全バージョンともに受信メールの添付ファイルについては、MS-DOS 予約デバイス名を持つファイルに対してもスキャンを実行し、悪質なコンテンツの検出に成功することを確認しましたが、システム上に存在する MS-DOS 予約デバイス名を持つファイルのスキャンについては動作が一定しないことが判明しました。
弊社は、Symantec Norton AntiVirus 2004 用に、この問題に対応する修正プログラムを開発しました。この修正 プログラムは現在、LiveUpdate を通じて入手いただけます。現在サポート対象となっている他の全バージョンの Symantec Norton AntiVirus については、修正プログラムの組み込み作業を進めており、完全検査が終わり次第、 LiveUpdate を通じて配布する予定にしております。上述の問題を実際に悪用した攻撃の試みに関する情報や、この 問題に起因した弊社製品ユーザからの被害報告は受けておりません。

日常的なベスト・プラクティスとして、シマンテックは多層的なセキュリティ対策の実施を推奨しています。

• 最低限でも、パーソナル・ファイアウォールおよびウイルス対策アプリケーションの両方を実行し、かつ、 それらを常に最新の状態に維持するよう努めてください。これにより、ネットワークの外部から侵入する脅威だけでなく、 内部から侵入する脅威の両方を、複数の侵入ポイントで検知・阻止することが可能となります。
  
  
• お使いのコンピュータにインストールしているオペレーティングシステムならびにアプリケーションすべてに対し、各製品ベンダーから配布されている修正パッチや更新プログラムを適用することで、システムを常に最新の状態にしておくよう心がけてください。
  
  
• メールで届く不審な添付ファイルや実行形式ファイルには用心してください。また、未知あるいは信頼できない Web サイトを訪問したり、出所が不明な URL リンクを開いたりする際には十分な注意を払ってください。
  
  
• 知らない人または組織から届いたメールや、要請していないのに一方的に届いたメールの添付ファイル、あるいは、内容が不確かな実行形式ファイルは絶対に開封しないでください。
  
  
• 添付ファイルには常に十分過ぎるくらいの注意が必要です。添付ファイルの差出人を知っている場合でも、そのアドレスは別人によって詐称されている可能性があります。
  
  
• 不審な添付ファイルが届いた場合は、開封する前に差出人に連絡して本当にその人が送信したものかどうかを確認し、それでも不審な点がある場合は、開封せずに削除してください。
  
  

CVE
CVE（Common Vulnerabilities and Exposures）推進グループは、ISS X-Force から報告された問題に CAN-2004-0920 という識別番号を付けました。

この問題および識別番号は、様々なセキュリティ問題の名称が標準化されている CVE リスト（http://cve.mitre.org）への登録候補となっています。

クレジット
本件に関する技術的な問題点の特定と情報提供にご協力くださった iDefense 社リサーチ・チームの皆様に深く感謝いたします。

シマンテック製品のセキュリティに関する情報の連絡先
弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety（OIS）の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC（National Infrastructure Advisory Council： 米国の国家インフラ諮問委員会）による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上、問題であるか、あるいは、問題となり得る点を発見した場合は、secure@symantec.com（米国）までご一報ください。

脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com（米国）まで送信くださるようお願いいたします。SymSecurity PGP キーは、こちらから入手いただけます。