ソフトウエアの脆弱性(セキュリティー上の欠陥)が毎日のように見つかっている。例えば、脆弱性の情報のデータベースである「JVN iPedia」には、2019年3月の1カ月で21件の脆弱性が登録された。
ただ、危険度が低い、あるいは該当ソフトウエアのユーザーが少ないなどの理由から、ほとんどの脆弱性はそれほど注目されない。
しかしながら、2019年2月に公表されたWinRARの脆弱性は別だった。19年間発見されず、5億人以上が影響を受けるとされたからだ。
スタートアップフォルダーにウイルスを作成
WinRARは、解凍ソフト(アーカイバー)。バージョン1は1995年に公開された。今回、WinRARの脆弱性を公表したのは、イスラエルのセキュリティーベンダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies)だ。
今回の脆弱性は、WinRARに含まれる「unacev2.dll」というライブラリーに見つかった。unacev2.dllは、ACE形式と呼ばれる圧縮形式のファイルを処理するためのライブラリー。
パストラバーサル(Path Traversal)と呼ばれる種類の脆弱性で、細工が施されたACE形式のファイルを解凍処理すると、任意の場所に任意のファイルを作成されてしまう。
例えば攻撃者は、実行形式のウイルス(マルウエア)をスタートアップフォルダーに作成させることが可能になる。この場合、次回パソコンを起動した際に、ウイルスが実行される。
通常、ACE形式のファイルの拡張子は「ace」だが、WinRARの場合は、拡張子が「rar」であっても、中身がACE形式の場合には、今回問題になっているunacev2.dllを使って解凍する。
つまり、拡張子がrarなので、RAR形式の圧縮ファイルだと思ってWinRARで処理すると、unacev2.dllで解凍される。
この攻撃の恐ろしいところは、任意のウイルスを使用できるということ。基本的な仕掛けさえ作れば、攻撃者は手を替え品を替えて悪用できる。
