【詳細情報】Unrealゲームエンジンのセキュリティ欠陥が発覚

◆概要：
　Epic Games社のUnrealゲームエンジンに、複数のセキュリティ欠陥が存在することがわかった。この欠陥が原因で、DoS攻撃、クライアントシステムの乗っ取りやクライアントのスプーフィングなどの問題が発生する可能性がある。

国際海外情報

2003年2月21日（金） 12時00分

◆概要：
　Epic Games社のUnrealゲームエンジンに、複数のセキュリティ欠陥が存在することがわかった。この欠陥が原因で、DoS攻撃、クライアントシステムの乗っ取りやクライアントのスプーフィングなどの問題が発生する可能性がある。

　これらの問題は非常に深刻なものであるが、パッチはリリースされていない。Epic Game社の幹部であるMark Rein氏は様々な誤解が発生しているため、問題解決のための3ヶ月の猶予をEpic社に与えた後にこの脆弱性を一般公開した人物を訴えるとコメントしている。Epic社は、公的に謝罪している。また、iDEFENSEは、Rein氏から以下の説明を受け取った。

　「当社がこのようなセキュリティ報告を受けたのは今回が初めてであり、対応の遅れは当社の重大な過失である。今後はこの過ちを教訓としたい。当社では、Pivxによるセキュリティ報告にある問題を修正すると同時に、コードに含まれるその他の未知の欠陥の検出に全力をあげている。また、今後はリリース前の製品テストでセキュリティの問題をさらに重要視するとともに、コミュニティが発見したセキュリティ欠陥への対応を即刻対処する予定である。」

　ほとんどの新型ゲームには、Epic社などの企業が製造したネットワークエレメントが含まれている。これには、インターネットで配布する単純なソフトウェアアップデートやアドオンパッケージから、中央サーバを使った完全参加型のゲームプレイまで、さまざまなものがある。使用条件及び許容使用ポリシーを慎重に検討して、オンラインゲームとシステム上でのゲームのインストールが適用範囲内であることを確認すること。

◆情報ソース：
・VulnWatch (Auriemma Luigi, aluigi@pivx.com), Feb. 05, 2003
・iDEFENSE Intelligence Operations, Feb. 11, 2003
・Epic Games (Mark Rein, mrein@epicgames.com), Feb. 11, 2003

◆キーワード：
　Other: Client application Other: Server application

◆分析：
　(iDEFENSE US) 現在の多数のネットワークゲームは、簡単なマップ、ゲームのバイナリアップデートやパッチなど、さまざまなコンポーネントをネットワークサーバからダウンロードする。ネットワーク上でのゲームが許可されている場合は、ゲームに使用するポートのネットワークトラフィックを監視して、悪質な行為を防止すること。ゲームプレイを許可するサイトでは、システムを生産ネットワークから分離するか、セキュリティを徹底して問題発生を防止する。ゲームプレイ中は、最低限の特権を備えたユーザアカウントを利用する。

◆検知方法：
　以下の製品がこの問題の影響を受ける。

・Adventure Pinball
・America's Army
・Deus Ex
・Hired Guns
・Mobile Forces
・Navy Seals
・Rune
・Star Trek: The Next Generation: Klingon Honor Guard
・The Wheel of Time
・TNN Outdoor Pro Hunter
・Unreal
・Unreal Tournament
・Unreal Tournament 2003
・Werewolf
・X-Com: Alliance
・like DeusEx2、Duke Nukem Forever、Postal 2、Thief III及びXIIIなど、今後発売予定のゲーム (開発者が修正済Unrealエンジンを使っていないもの)

◆ベンダー情報：
　ベンダーは修正をリリースしていないが、現在作成中とのことである。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【12:29 GMT、02、13、2003】

《ScanNetSecurity》