セキュリティ・ベンダーや組織は現地時間1月1日以降,Windowsのセキュリティ・ホール(脆弱性)を突く新しいタイプの画像ファイルが出回っているとして注意を呼びかけている(関連記事1,関連記事2)。ファイルはWebサイトに置かれているばかりではなく,メールで送られてくる可能性もあるという。ファイルを開いたりプレビュしたりすると,悪質なプログラムを勝手にインストールされて被害を受ける。実体はWMF(Windowsメタファイル)形式ファイルだが,拡張子は.jpgなどの場合があるので注意。
米SANS Instituteなどによると,脆弱性を突く画像ファイルを生成する新しいプログラムがネット上で公開されているという。当初出回ったプログラムとは別物なので,そのプログラムで生成したファイルはウイルス対策ソフトを利用していても検出できない場合がある。生成されるファイルはWMF形式の画像ファイルだが,拡張子は.jpg。別の拡張子を設定することも可能である。このため,拡張子だけで判断することは難しい。
当初,脆弱性を突くファイルはWebサイトに置かれていることが多かったが,新しいタイプの画像ファイルはメールでも撒き散らされているという。フィンランドF-Secureによれば,年賀状に見せかけたメールに添付されて送られているのを確認している。メールの件名は「Happy New Year」で,添付されているファイルの名前は「HappyNewYear.jpg」。このファイルを開いたり,エクスプローラなどでプレビュしたりすると,特定サイトに置かれた悪質なプログラム(バックドア・プログラム)をダウンロードおよび実行させられる。
ユーザーとしては,「脆弱性を突くファイルの拡張子は.wmfとは限らない」「メールなどで送られてくる場合がある」「ウイルス対策ソフトで検出できない場合がある」---ことを認識しておく必要がある。
SANS Instituteでは,マイクロソフトから修正パッチが公開されるまでの対策として,「今回の脆弱性に関連するDLL(shimgvw.dll)を無効にしておく」「Microsoft以外から公開された“非公式パッチ”を適用する」「ウイルス対策ソフトを最新の状態に保つ(最新のウイルス定義ファイルを使用する)」---ことを挙げている。shimgvw.dllを無効にする方法は,マイクロソフトのセキュリティアドバイザリに詳しい(関連記事1,関連記事2)。非公式パッチはSANS Instituteが再配布している(関連記事)。
◎参考資料
◆2nd generation WMF 0day Exploit Spammed(SANS Institute)
◆WMF FAQ(SANS Institute)
◆New exploit released for the WMF vulnerability - YELLOW(SANS Institute)
◆New WMF exploit attacks via email(F-Secure)
◆Zero-day used for BOT's and Crimeware(Websense)
◆MS WINDOWS METAFILE VULNERABILITY HOTFIX v1.3(SANS Institute)
◆Updated version of Ilfak Guilfanov's patch / ,msi file(SANS Institute)