フィンランドF-Secureは1月2日,Windowsのパッチ未公開セキュリティ・ホール(脆弱性)を突く画像ファイルを添付した新たなタイプのメールが出回っていることを警告した。特徴は,あるリストに基づいて特定のユーザーに向けて送られていること(関連記事)。添付ファイルを開いてしまうと,あるWebサイトから悪質なプログラム(バックドア)をダウンロードさせられて,パソコンを乗っ取られる可能性があるという。
Windowsの脆弱性を突くファイルを添付したメールが出回っていることは,同社などが1月1日に報告している(関連記事)。既に出回っているメールのほとんどは不特定多数に向けて送られているとみられる。ところが今回報告されたメールは,特定の相手に向けて送られているという。メールを“捕獲”したのは,F-Secureのビジネス・パートナである英MessageLabs。
今回報告されたメールでは,送信者を米政府のセキュリティ組織に見せかけて,添付したファイルに示されている場所へ向かうよう指示している。具体的には,送信者名は「tommy@security.state.gov」,件名は「Confidential」。本文には「Attached is the digital map for you. You should meet that man at those points seperately. Delete the map thereafter. Good luck. Tommy」と記されている。添付ファイル名は「map.wmf」。このファイルを回避策を施していないパソコン(shimgvw.dllを無効にしていないパソコンなど)で開くと,被害に遭う可能性がある。
メールの本文は“スパイ映画”のようで稚拙なので本気にする受信者はいないだろうが,おもしろがって,つい開いてしまう可能性は高い。また,今後はより巧妙なメールが出回る可能性も高い。
Windowsメタファイルに関連した脆弱性は,攻撃者にとって格好のターゲットとなっている。脆弱性を突くファイル(プログラム)が公開されているにもかかかわらず,米Microsoftからは修正パッチが公開されていないためだ。脆弱性を突くファイルを添付したメールがいつ送られてきても不思議ではない。ファイルの種類にかかわらず,添付ファイルの取り扱いにはいつも以上に慎重になりたい。ファイルを安易に開くことはもちろん,プレビュすることも禁物である。
「今回の脆弱性に関連するDLL(shimgvw.dll)を無効にしておく」「Microsoft以外から公開された“非公式パッチ”を適用する」「ウイルス対策ソフトを最新の状態に保つ(最新のウイルス定義ファイルを使用する)」---といった回避策を施すことも重要である(関連記事1,関連記事2,関連記事3,関連記事4)。
◎参考資料
◆Targeted WMF email attacks
