またか、という感じですが。ソニー製の指紋認証機能付き USB メモリー "Sony MicroVault USM-F" に rootkit 的なものが検出されたようです。国内ではPocketBit USM-F や PocketBit USM-FL とされる製品群の可能性がセキュリティホール memo のアーティクルで示唆されてるようです。写真で見る限りデバイスの作りは同じように見えますね。いかんせん、ドライバを含む Software まで同じかまでは写真では判りませんが。ただ、同世代の商品だと Software の作りは同等であっても不思議ではないです。今回の問題はイントール時に隠れたディレクトリを作成する問題です。これは、F-Secure の Weblog のアーティクル Double Whammy! Another Sony Case (And it's Not Bio Shock)によると rootkit と同等の技術で user land の Software から隠されているようです。
Sony BMG の問題に続きまたもという感じです。まあ、ソニーだからというよりも製品をデザインする側にやってはいけないことの認識が少ないことが最大の問題です。今回のケースでは一部のアンチウィルス製品が隠しディレクトリの内部のスキャンができないようでセキュリティ上のリスクを引き上げてしまいます。認証情報を秘匿しておきたいというのは分らんでもないのですがそのために別のセキュリティリスクを招いては何の意味もなく、むしろ有害です。秘匿しておきたいのならば十分な強度の暗号化などで行うべきで、rootkit 的手法を用いるのは間違っているかと思います。導入時にも無用な権限の昇格も必要になると思われますし。
コメントする