ITmedia NEWS >

WMF脆弱性を狙う攻撃コードは闇取引の「商品」だった――Kaspersky Lab

» 2006年02月06日 21時01分 公開
[高橋睦美,ITmedia]

 ロシアのセキュリティ企業、Kaspersky Labがまとめたレポートによると、2005年12月に公になったWindows Metafile(WMF)の脆弱性を狙った攻撃コードは、当初闇取引の対象になっていたという。

 WMFの脆弱性が広く公になったのは2005年12月末のことだ。Windowsの画像処理ライブラリに脆弱性が存在するため、細工を施した画像ファイルを開くだけで、攻撃者が仕掛けた任意のコードを実行される恐れがあった。Microsoftは当初、この問題に対するパッチを2006年1月の月例パッチの一部として提供するとアナウンスしたが、結局、予定を前倒しして1月6日に公開している(関連記事)

 Kaspersky Labsが1月末に公表した四半期レポートによると、ウイルス対策ベンダー各社が不審なWMFファイルを捉えたのは12月26日(関連記事)。それからわずか1週間の間に、1000を超える悪意あるコードを仕込んだ画像が検出された。

 しかしこのレポートによると、WMFの脆弱性が最初に発見されたのは12月1日前後。それも発見したのはセキュリティ研究者側ではなく、アンダーグラウンドの人間によってだという。

 数日後には脆弱性を悪用するエクスプロイットコード(実証コード)が作成され、「ロシアの複数のハッカーグループが4000ドルでコードを販売していた」(Kaspersky Labs)。コード購入者の1人がアドウェア/スパイウェアの「ビジネス」に関わっており、そこからコードが公になったと見られる。

 Kaspersky Labsでは、脆弱性の最初の発見者は特定できていない。またハッカーらが脆弱性の本質を理解していたようにも見えないという。しかし、「エクスプロイットはサイバー犯罪向けに販売するために作成された」と同社は指摘し、コードの取引がロシアで行われていたため、研究者らはその事実をつかめなかったとしている。

 このレポートはさらに、ウイルス作者の狙いが変化し、全世界的に流行するようなワーム/ウイルスに代わり、特定のグループやユーザーを狙い撃ちにする「ローカル流行型」が好まれるよう傾向にあること、PC内のデータを暗号化して「データを復号してほしければ送金せよ」と迫るインターネット上の恐喝が増加していることなどにも触れている。

 また、主な動きの1つとして、ゲーム機を狙った初のトロイの木馬が出現したことにも触れ、「1年前ならばジョークだと思われていたことが現実になった」と述べた。今のところ、それに続く第二のマルウェアは登場していないが、悪意ある攻撃者にとっても「ドアは開かれた」と指摘。さらに、インターネット接続機能や相互接続機能を搭載する方向に向かっていることから、「こうしたデバイスが攻撃者のターゲットとなるリスクは高まっている」と警告している。

Copyright © ITmedia, Inc. All Rights Reserved.