Windowsの未パッチ脆弱性の対策は？ 非公式パッチも公開

Windowsの新たな脆弱性に対するMicrosoftのパッチは1月10日にリリースされる予定だ。それまでの間、身を守る方法は……。

[高橋睦美，ITmedia]

　2005年12月末に公になったWindowsの脆弱性は、パッチが存在しないまま、さまざまな形で悪用されている。

　Microsoftでは1月10日に公式パッチをリリースする予定だが、それまでの回避策を、セキュリティアドバイザリにまとめている。

　具体的には、Windows XPやWindows Server 2003でデフォルトの画像ビューワとなっている「Windows画像とFaxビューア」のDLLファイル「Shimgvw.dll」の登録を無効にするという手段だ。Windows付属のコンソールプログラム「regsvr32」を用いて登録を解除する方法が説明されている。

　この措置により、脆弱性を悪用される可能性は低くなる。悪意あるアプリケーションがShimgvw.dllファイルを経由し、GDI32.dllファイルを呼び出してEscape()ファンクションを実行する、という攻撃シナリオを阻止できるからだ。

　ただし、直接GDI32.dllファイルを呼び出させるような攻撃が行われた場合は阻止できない。また、悪意あるアプリケーションがShimgvw.dllを再度登録する可能性もある。

　これに対しIlfak Guilfanov氏は12月末、独自に非公式パッチを作成し、Webサイトを通じて公開した（現在はアクセス集中のため、別サイトで配布されている）。この非公式パッチはGDI32.dllファイルのEscape()ファンクションへのアクセスを防ぐことにより、より根本的な対策を提供するという。

　SANSではこの手法は「一般的に言えば悪いアイデア」としながら、「Microsoftが修正を提供するまでの間、他に適切な手段はない」と評価し、現時点ではこれを適用することが最善の手段だとしている。というのも、この脆弱性が非常に危険なものだからだ。

　「現在の状況は非常に悪く、今後さらに悪化するだろう。われわれの知恵を集めた最善のアドバイスは、shimgvw.dllの登録を無効にし、かつ非公式パッチを適用することだ。どうかわれわれを信用して欲しい」とSANSは記している。

　SANSは、自身で動作検証を行ったうえで適用を推奨。F-Secureも同様に、非公式パッチの適用を推奨している。ただし、Microsoftから公式パッチがリリースされた暁には、速やかにアンインストールすべきという。

　非公式パッチはWindows XP SP1／SP2とWindows 2000に対応しているが、企業で適用する場合は事前のテストが不可欠だ。なおSANSは、非公式パッチを複数のマシンに適用するためのインストーラー（MSIファイル）も公表している。

　一方でMicrosoftのシニアセキュリティストラテジスト、Jesper Johansson氏は、ブログの中で、非公式パッチを適用する前にITマネジャーはそのリスクを考慮すべきだと述べ、非公式パッチがリスクマネジメント上の別の問題を引き起こす可能性を指摘している。

基本的な対策の徹底も

　セキュリティアドバイザリが推奨するShimgvw.dllの登録解消、SANSが勧める非公式パッチの適用という手段の他に、2つの基本的な自衛策が挙げられる。

　1つは、最も根本的な対策だが、不審な画像やWebサイトをほいほいと開かないこと。Webアクセスにせよ、メールにせよ、IMにせよ、記されたURLは不用意に開くべきではないし、添付ファイルには注意が必要だ。

　また、セキュリティ／ウイルス対策ベンダー各社も適宜、攻撃コードに対する対応を進めている。100％の防御は望めないにせよ、ウイルス定義ファイルを最新のものに保ち続けていくことも重要だ。システム管理者の場合、企業ゲートウェイ部分のウイルス対策ソフト更新とともに、IDSのシグネチャ更新も行うべきだろう。

　なお、ゲートウェイ部分でWMF形式のファイルをフィルタリングするという手段も考えられるが、Microsoftによると、Graphics Rendering Engineは、拡張子だけでファイルの種類を判断しない。このため、拡張子を変更しただけのWMFファイルがすり抜ける可能性があるため、注意が必要だ。