Windowsの脆弱性を突いて印刷を実行するワーム出現、パッチ適用でも「副作用」

[鈴木聖子，ITmedia]

　米Symantecは、ネットワークプリンタに意味不明の文書を印刷させてしまう新手のワームが見つかったと伝えた。このワームはWindowsの印刷スプーラーサービスに存在する既知の脆弱性を悪用しているという。

　印刷スプーラーサービスの脆弱性は2010年に発覚し、Microsoftが同年9月の更新プログラム（MS10-061）で修正済み。それにもかかわらずSymantecには複数の顧客から、ネットワークプリンタで文書が勝手に印刷されるとの報告が寄せられているという。

　Symantecはこのワームを「Printlove」と命名。更新プログラム適用の有無による動作の変化を検証する目的で、2台のコンピュータがネットワークプリンタを共有するネットワークを構築し、2台のうち1台をPrintloveに感染させて実験を行った。

　その結果、2台のうち1台が更新プログラムを適用していない場合、Printloveは脆弱性を突いてそのコンピュータ上でリモートからコードを実行することに成功した。一方、2台とも更新プログラムが適用されている場合は脆弱性を悪用することができず、その「副作用」として意味不明の文書が印刷されることが分かった。

　Printloveは定期的にリモートのコンピュータに接続して感染を試みるため、ネットワークから完全に駆除しない限り、コンピュータが再感染する恐れがあるという。

　Symantecは先に、紙が尽きるまで印刷を続けるマルウェア「Milicenso」の出現も報告している。PrintloveとMilicensoは関連している可能性もあるが、まだ確認はできておらず、調査を続けているという。