IT Proでも注意を呼びかけているように,すべてのWindowsが影響を受ける危険なセキュリティ・ホール(脆弱性)が12月末に見つかり,その脆弱性を突く画像ファイルが広く出回っている。修正パッチは未公開だが,影響を軽減する方法はいくつかある。休み中にたまったメールをチェックする前に,まずは回避策を施したい。

 現在考えられる回避策としては,以下のようなものが考えられる。

(1)今回の脆弱性に関連するDLL(shimgvw.dll)を無効にする
(2)Microsoft以外から公開された“非公式パッチ”を適用する
(3)ウイルス対策ソフトを最新の状態に保つ(最新のウイルス定義ファイルを使用する)
(4)信頼できない相手からのメールに添付されたファイルは開かない/プレビュしない/保存しない
(5)信頼できないWebサイトへはアクセスしない

 (1)については,マイクロソフトがセキュリティアドバイザリにおいて「推奨するアクション」として挙げているもの。Windowsメタファイル(WMF)に関連付けられている「Windows画像とFaxビューア(Windows Picture and Fax Viewer)」を無効にすることで,脆弱性を突く画像ファイルが読み込まれることを防ぐ。

 具体的には,スタートメニューの「ファイル名を指定して実行」において,

regsvr32 -u %windir%\system32\shimgvw.dll

と入力して実行する(「OK」をクリックする)。無効にすることで何か問題が発生した場合には,

regsvr32 %windir%\system32\shimgvw.dll

と入力して実行すれば,元の状態に戻せる。

 効果的な回避策だが,セキュリティ組織の米SANS Instituteによれば万全ではないという。というのも,ユーザーが意図しなくても,無効にした「Windows画像とFaxビューア」が有効にされる場合があるからだという。具体的には,アプリケーションのインストールや特定の操作によって有効に戻る場合があるという。このためSANS Instituteでは,米Microsoftからパッチが公開されるまでは,(1)と併せて(2)を実施することを最善の回避策(ベスト・プラクティス)として推奨している。

 (2)の非公式パッチは,SANS Instiuteが検証した上で再配布している関連記事)。

 (3)から(5)はセキュリティのセオリーである。今回の脆弱性にかかわらず守るべきもの。とはいえ,いつも以上に細心の注意をもって実施したい。休暇中に届いたメールの中に,脆弱性を突く画像ファイルを添付したものが含まれているかもしれないのだ。

 (3)は,既に見つかっている悪質な画像ファイルに対しては効果があるが,新たな悪質ファイルは次々と出現している。過信は禁物である。(4)については,今回出回っている悪質ファイル以外にも有効なので,必ず守りたい。

 職場から怪しいサイトを閲覧しているユーザーは少ないと考えられるので(5)については言うまでもないだろう。しかし,信頼できるサイトであっても安心はできない。サイトに不正侵入されて,悪質な画像ファイルがダウンロードされるようにWebページを改ざんされている可能性はゼロではない。業務に直接関係しないサイトは極力閲覧しないほうが無難だ。

 SANS Instituteでは,今回の脆弱性に関する情報をまとめた「WMF FAQ」を公開している。SANS Instituteのページには,日本語訳へのリンクも用意されているので,管理者だけではなくユーザーも目を通しておきたい。

◎参考資料
◆マイクロソフト セキュリティ アドバイザリ (912840)Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある
「WMF FAQ」

◎IT Proで掲載した関連記事一連
Windowsにパッチ未公開の危険なセキュリティ・ホール,信頼できないページやファイルには近づくな [2005/12/30]
休暇中のWebアクセスに注意,Windowsの脆弱性を突くサイトが“増殖中” [2005/12/31]
Windowsのパッチ未公開セキュリティ・ホールをふさぐ“非公式パッチ”が公開 [2006/01/02]
Windowsの脆弱性を突く新しい画像ファイルが出現,メールで送られてくる場合も [2006/01/02]
「狙いを絞った“メール攻撃”を確認,Windowsの脆弱性を突く画像ファイルを添付」---F-Secure [2006/01/03]