ソニーは7日、同社製の指紋認証機能付きUSBメモリのうち、2つの製品に付属しているソフトウェアに脆弱性があり、第三者によって意図しない用途で使用されるおそれがあると発表した。同社は、この脆弱性を修正するためのソフトを今月下旬までに提供するとしている。また、問題のソフトをアンインストールする方法をホームページに掲載している。
脆弱性のあるソフトが付属していたのは、「指紋認証つきポケットビット」のUSM128F/USM512FL。海外での商品名は「MicroVault」で、USM64C/USM128C/USM256F/USM512FLが該当する。脆弱性は、これらに付属しているソフトのうち「ファイル&フォルダ・セキュリティ」に存在。同社によると、このソフトをインストールした際に、同時にインストールされるフォルダがWindows APIより見えないため、第三者により意図しない用途で使用されるおそれがある。同社では、脆弱性に不安を感じる場合は、修正ソフトが提供されるまでの間、このソフトウェアをアンインストールしてほしいとし、アンインストールの手順をホームページに掲載している。
指紋認証デバイスにrootkit的な手法による技術が採用されている問題については、先週3日の「ネットセキュリティニュース」でもお伝えしている。トレンドマイクロの情報によると、日本国内の複数のベンダーが提供する指紋認証ハードウェアでこの技術が使われており、今回情報が公開されたソニー製品以外にも、影響を受ける製品があると考えられる。
(2007/09/10 ネットセキュリティニュース)
■指紋認証機能つきポケットビット付属ソフトウェアの脆弱性についてのお知らせとお願い(ソニー)
http://www.sony.jp/pr/info/info070907.html
■ソニー製指紋認証機能つき「ポケットビット」付属ソフトウェアにおける脆弱性(JVN)
http://jvn.jp/jp/JVN%2335677737/index.html
■指紋認証ハードウェアと「RTKT_XCP.B」(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/1200
【関連記事:ネットセキュリティニュース】
・指紋認証デバイスにrootkit技術~ 国内製品も悪用のおそれ(2007/09/03)