Windowsのセキュリティ・ホール（脆弱性）を突く画像ファイルが置かれたWebサイトが急増しているとの情報が，セキュリティ関連のメーリング・リストやWebサイトに寄せられている（関連記事）。脆弱性を突くファイルが置かれたサイトへアクセスすると，ファイルに仕込まれたプログラムが勝手に動き出し，別のサイトに置かれたスパイウエアやウイルスなどをダウンロードおよび実行させられる。修正パッチは未公開。信頼できないサイトへは極力アクセスしないようにしたい。

　パッチ未公開のWindowsの脆弱性を突くWebサイトが“増殖”しているという。セキュリティ関連のメーリング・リストやWebサイトには，そのようなサイトの具体的なURLが多数掲載されている。数十のURLをリストアップしているサイトも存在する。

　それらの情報によると，掲示板サイトの書き込みやブログ・サイトのトラックバックなどに，脆弱性を突くサイトのURLが記載されているケースが多いという。ファイルのアップロードが可能な掲示板には，脆弱性を突く画像ファイルが置かれている場合もあるという。

　リンクを次々とたぐっていくのがWebの“醍醐味”ではあるが，修正パッチが公開されていない現状では，危険な行為といえるだろう。この年末年始休暇については，信頼できないサイトへはアクセスしないほうが無難である。

　現時点（12月31日）での回避策として，マイクロソフトでは「Windows画像とFaxビューア（Windows Picture and Fax Viewer）」を無効にすることを挙げている。Windows画像とFaxビューアのDLL「Shimgvw.dll」の登録を無効にする。具体的には，「ファイル名を指定して実行」に，

regsvr32 -u %windir%\system32\shimgvw.dll

と入力して実行する（「OK」をクリックする）。無効にすることで問題が発生した場合には，

regsvr32 %windir%\system32\shimgvw.dll

と入力して実行すれば有効になる。

　ただしSANS Instituteの情報によれば，アプリケーションの中には，Shimgvw.dllを直接呼び出して，レジストリに再登録するものがあるという。このため，Shimgvw.dllを削除あるいは名前変更するほうがより安全だと考えられる。この場合には，パッチ適用前に復旧あるいは名前の再変更を忘れてはいけない。

　併せてSANSでは，「ファイルの拡張子によるフィルタリングは役に立たない」といった情報も公開している。拡張子が.wmf以外でもWMF画像ファイルである場合があるので「.wmf以外のファイルは安全」と考えると危険である。

◎参考資料
◆Musings and More WMF Information
◆Informational Alert: Zero-day profiteering
◆TROJ_NASCENE.C
◆TROJ_NASCENE.B
◆TROJ_NASCENE.A
◆Bloodhound.Exploit.56
◆Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある