「カスペルスキー」のウェブ保護機能に重大な脆弱性 ～修正パッチをリリース

Kaspersky Labの公式ブログ

　露Kaspersky Labは11月25日（現地時間）、セキュリティソフト「カスペルスキー」に脆弱性が存在することを明らかにした。最新版ではすでに修正されており、できるだけ早いアップデートが必要だ。

　「カスペルスキー」には、悪質な広告やトラッカーCookieをブロックしたり、検索結果に含まれるフィッシングサイトを警告する“ウェブ保護”機能が備わっている。この機能は「カスペルスキー」本体とWebブラウザーにインストールされた拡張機能の組み合わせで実現されているが、独立系セキュリティ研究者のウラジミール・パラント氏によると、両者が情報をやり取りする仕組みには重大なセキュリティ欠陥があり、比較的簡単にそのシークレットキーを読み取ることができるという。

　同氏が実証したところ、少なくとも保護機能をユーザーに知られず無効化することができたとのこと。確認はできていないが、サービス拒否攻撃（DoS）や任意コードの実行への応用もあり得る。もしユーザーが“ウェブ保護”拡張機能のインストールを拒否しても、「カスペルスキー」はWebページにスクリプトを注入して機能を実現しようと試みるため、脅威を避けることはできない。

　同氏は昨年12月、Kaspersky社のバグ報奨プログラムへこの問題に関する3つのレポートを提出。翌7月、Kasperskyはこの問題を一旦は解決済みとした。

　しかし、パラント氏がKasperskyに報告書の開示を請求したところ、ユーザーに更新が行き渡るのに時間がかかるとして、開示は拒否されたという。氏は8月に追加の脆弱性レポートをKasperskyに送るとともに、11月までに対応が確認されなければ、古い脆弱性に関する記事を自分のブログで公開すると通告した。

　これに対し、Kasperskyは11月初めに「カスペルスキー インターネット セキュリティ 2019」の“Patch I”と「カスペルスキー インターネット セキュリティ 2020」の“Patch E”で問題が解決されたことをパラント氏に報告。アプリがクラッシュする問題が不完全であると氏に指摘されたため、これに対処した2019年版向け“Patch J”と2020年版向け“Patch F”を11月25日にリリースし、問題を最終的に解決した。

　同社は公式ブログでこの問題を公表し、製品に完全な安全を保障することは不可能だが、今後もセキュリティ研究者と協力しつつ、できる限り早く脆弱性に対処し、あらゆる脅威に対する最高の保護をユーザーに提供していくとしている。