書庫形式の書類に脆弱性　コンテンツ改ざんに注意

英セキュリティー企業のスニックセキュリティーは、複数のファイルを1つにまとめる「書庫ファイル」形式に深刻な脆弱性を発見したと発表した。この形式で作られた書類を展開すると、最悪の場合、システムを書き換えられたり、ウイルスプログラムを仕込まれたりするという。セキュリティー関係者は利用者に対し警戒を呼びかけている。

スニックセキュリティーが発見したのは同社が「ジップスリップ」と呼ぶ脆弱性で、複数ファイルをまとめてやりとりするためのファイル形式「ジップ（zip）」を持つ書類に含まれる。

ある特殊な名前のファイルを他のファイルと一緒にまとめておき、これを展開させると、そのコンピューターの特定の場所に任意のファイルを作成できるという。この脆弱性を悪用すれば、プログラムなど実行ファイルの上書きや、設定ファイルの書き換えが可能となり、結果として外部から任意のプログラムを勝手に実行される恐れがあるという。

5日にスニックセキュリティーがサイト上で脆弱性を公開。日本のインターネットセキュリティー組織であるJPCERT（ジェイピーサート）コーディネーションセンター（CC）も6日にサイト上で情報を公開し、警戒を促している。

影響を受けるのは自由に改変・再配布が可能なオープンソースソフトで、主に「Java（ジャバ）」や「Ruby（ルビー）」などのプログラミング言語、米マイクロソフトの「ドットネット」などのソフト開発環境など多岐にわたる。スニックセキュリティーは4月に問題を発見し、米HPや米アマゾン・ドット・コムなどに警告、対応を促していた。

攻撃される可能性があるのは主にネット上でサービスを提供するサーバー。ただ、ファイルの改ざんは可能だがシステムの乗っ取りは難しいという。JPCERT/CC早期警戒グループの平岡佑一朗情報セキュリティアナリストは「自社のシステムに影響があるかどうかを開発元に問い合わせて確認してほしい」と対応を促している。（北郷達郎）