WMFの脆弱性修正パッチ適用は進んでいない？ 悪用フィッシングサイトも

[ITmedia]

　ウイルス対策企業のF-Secureは1月16日、Windowsに存在するWMF（Windowsメタファイル）の脆弱性を悪用したフィッシングサイトが登場しているとし、ブログ上で注意を呼びかけた。

　WMFの脆弱性の存在は2005年12月末に公になった。そしてその直後から、メールやインスタントメッセンジャー経由で広まるワーム、トロイの木馬を埋め込む悪意あるWebサイトなど、さまざまな形で攻撃に悪用されてきた。

　F-Secureが指摘するフィッシング詐欺では、英国の金融機関、HSBCをかたったフィッシングサイトに、WMFの脆弱性を悪用する攻撃コードが用意されていた。フィッシングサイトにアクセスしてこのコード（画像ファイル）を実行すると、システム情報を収集するトロイの木馬がダウンロードされる仕組みだ。

　また、同じ日にSANS Instituteが公開した情報によると、WMFの脆弱性を悪用し、特定のURLからファイルをダウンロードして実行させるようなWMFファイルの「生成ツール」が流通しているという。それも、悪意ある攻撃者がプラグ＆プレイで利用できるソースコード一式が入手できる状態だという。

　Microsoft側では事態の深刻さを踏まえ、月例パッチと同時の1月10日という当初の予定を前倒しし、1月6日に修正パッチをリリースしている。

　しかしF-Secureのコメントによると、パッチの公開から10日以上経つにもかかわらず「世界中の脆弱なWindowsマシンの多くは、まだこのパッチをインストールしていないように思われる」。結果としてこの脆弱性は、今後数カ月か、あるいは数年にわたって攻撃に悪用される恐れがあると指摘している。