「事態はますます悪化」――Windows脆弱性の悪用広がる

12月末に明らかになった未パッチのWindowsの脆弱性は、早速ワームに転化したほか、さまざまなWebサイトやスパムメールを通じて悪用されている。

» 2006年01月04日 21時56分 公開
[高橋睦美,ITmedia]

 2005年12月末に公になったWindowsの脆弱性に関し、Microsoftは1月10日に正式なパッチをリリースすることを明らかにした(関連記事)。併せてセキュリティアドバイザリの情報を更新し、回避策について説明している。

 しかしこの脆弱性に関しては、存在が明らかになるのと同時にゼロデイ攻撃が仕掛けられているのが現実だ。セキュリティ企業各社の情報によると、その後も複数のエクスプロイットが開発され、メールやインスタントメッセンジャー、Webサイトなど複数の手段を通じて攻撃が仕掛けられている。

 公式パッチがリリースされるまでの1週間近くの間、ユーザーはこれらの攻撃に対する根本的な対策を持たない状態となる。

 これを踏まえ、米SANS Instituteでは、あるセキュリティ研究者が開発した「非公式パッチ」を適用するよう推奨した。非公式パッチは、作者であるIlfak Guilfanov氏が一時的に設けたWebサイトのほか、いくつかのミラーサイトよりダウンロード可能だ(当初パッチが公開されたGuilfanov氏のサイトは、負荷集中のためISPにより停止された)。SANSでは、Microsoftが示す回避策を取るとともに、緊急事態であることを考慮しこの非公式パッチを適用するよう推奨している(別記事参照)

 問題の脆弱性は、Windows OSのGraphics Rendering Engineに存在する。細工を施されたWindows Metafile(WMF)形式のファイルを開くと、任意のコードを実行される恐れがあり、実際にウイルスなどの形で悪用され始めている。

 Websense Security Labsによると、WMFの脆弱性を悪用し、ユーザーがアクセスしただけでトロイの木馬などを埋め込もうとする攻撃サイトが複数発見された。中には、例によってスパイウェア対策アプリケーションを装い、駆除のためにクレジットカード番号を入力するよう促すものもある。

 こうした攻撃サイトは、攻撃者自身が用意したものだけではない。不正侵入を受けて乗っ取られたと思しきWebサイトも複数見つかっているということだ。Websenseによると、米国やロシア、オランダ、英国のほか、中国や日本でもこうしたWebサイトが確認されているという。

 F-Secureも複数の手口を報告している。MSN Messenger経由で攻撃サイトのURLを送りつけることにより拡散するワームが登場しているほか、年賀状メールを装って攻撃コードを仕込んだ画像ファイルを送りつける手口があるという。

 このメールは「Happy New Year」という題名で、「HappyNewYear.jpg」という画像が添付されている。添付ファイルを開いたり、Windowsエクスプローラでプレビューしたり、あるいはGoogle Desktopでインデックス化を行うなどしてファイルにアクセスすると、脆弱性を突いてトロイの木馬などがダウンロードされてしまうという。

 F-Secureはさらに、英MessageLabsが収集したという、特定少数に狙いを絞って送信されたスパムメールについても報告した。何らかの手段で入手したリストに基づき、脆弱性を悪用する画像付きのメールが特定のユーザーを対象に送信されているという。

 このようにわずか1週間足らずのうちに、さまざまな手口が登場している。F-Secureが述べているとおり、「事態はますます悪化している」と言えるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ