GDI+の脆弱性を悪用したJPEG画像がUsenetのニュースグループに

Windowsに存在するJPEG画像処理の脆弱性（MS04-028）を悪用するコードが仕込まれた画像が、Usenetのニュースグループに投稿された。

[高橋睦美，ITmedia]

　セキュリティ関連のメーリングリストBugtraqへの投稿によると、9月27日午前1時（グリニッジ標準時）に、WindowsXPやOfficeスイートに存在するJPEG画像処理の脆弱性（MS04-028）を悪用するコードが仕込まれた画像が、Usenetのいくつかのニュースグループに投稿されたという。

　この脆弱性は、Windows XPやInternet Explorer（IE）、Officeなど、広範な製品に存在する。悪用されればWindowsシステムをクラッシュさせたり、攻撃者がリモートからコードを実行できてしまう恐れがあるという深刻なものだ。脆弱性の公表から今に至るまでの間に、複数の実証コードが公開されている（9月24日の記事参照）。

　今回の行動は、実証コードの1つを元に作成された悪意あるJPEG画像が、不特定多数が利用するニュースグループに投稿されたという点でより悪質だ。SANS Internet Storm Centerの情報によると、脆弱性を残したままのシステムでこの画像を開くと、アプリケーションがクラッシュするという。

　ただし、この画像データには自己複製能力までは備わっていないようで、その意味ではまだ「ウイルス」「ワーム」とはいえない。だがSANSもF-Secureも、今後、より悪質なコードが拡散する可能性は高いと指摘し、いっそうの警戒が必要だとしている。

　この攻撃に引っかからないようにするには、Windows XP Serivce Pack 2を適用するか、あるいはMS04-028で示されているパッチを適用する。合わせて、利用しているウイルス対策ソフトの定義ファイルを最新のものにアップデートする。各社とも「Exploit-MS04-028」などの名称で対応済みだ。

　注意が必要なのは、脆弱性が存在するGDI+（gdiplus.dll）は、上記に挙げた製品だけでなく、Visual Studio .NETなどの開発ツールにも含まれ、これを用いて開発されたソフトウェアにも同じ脆弱性が存在する可能性がある点だ。手元の環境によっては、この脆弱性が含まれているかどうか開発元に確認を行ったり、「GDI Scan」や「GDIPlus.DLL Reporting Utility」といったツールを用いてチェックを行うべきだろう。

　なおF-secureのBlogによると、このデータが投稿されたのは「アダルト」関係のニュースグループという。こうした画像を閲覧したいという熱意のあまり、攻撃コードを含んだJPEG画像を開いてしまう可能性を逆手に取った手口だ。先日登場したトロイの木馬「Trojan.Upchan」でも言えることだが、インターネット上に流通している不審なファイルは極力開かないよう心がけるのが一番かもしれない。