フィンランドF-Secureは現地時間1月4日,Windowsに見つかったパッチ未公開の脆弱性(セキュリティ・ホール)を突いてボット(悪質なプログラムの一種)をインストールさせる画像ファイルが出回っているとして注意を呼びかけた。未対策のパソコンにおいて,攻撃者が送信するメール中のリンクをクリックすると,ボットが勝手に埋め込まれてパソコンを乗っ取られる恐れがある。
ボットとは,攻撃者がパソコンを乗っ取るために使う悪質なプログラム(関連記事)。ボットが実行されると,そのパソコンは仮想的なネットワーク「ボットネット」の一部となり,攻撃者の思い通りに操られる。具体的には,スパム(迷惑メール)やDDoS(サービス妨害)攻撃の踏み台などに悪用される(関連記事)。
F-Secureが今回報告した手口は,12月末に見つかったWindowsメタファイル(WMF)の処理に関するWindowsの脆弱性を突くもの(関連記事)。英文のメールを使って,脆弱性を突くWMF画像ファイルが置かれたWebサイトへユーザーを誘導する。
Yale大学のRobert Gordens教授(実在しない)から送られてきたように見せかけるそのメールでは,同大学の学生による暴力行為を警告している。窓ガラスの破壊や自動車への落書きが行なわれているとして,その証拠写真をアップロードしたというWebサイトへのリンクが記されている。
しかし実際には,そのサイトに置かれているのは脆弱性を突くWMF画像ファイル。回避策を施していないWindows環境でそのサイトにアクセスすると,画像ファイルが勝手にダウンロードされてファイルに仕込まれたプログラムが動き出す。そのプログラムはTFTPを使ってあるサイトからボット(Breplibot.Q)をダウンロードし実行する。
ボットが動き出すと,そのパソコンはIRC経由で攻撃者に操られるようになる。加えてそのサイトには,Firefox 1.0.4以前の脆弱性を突くコードも置かれているという。このため,WMF関連の脆弱性に対する回避策を実施していても,古いFirefoxを使っている場合にはボットを仕込まれる可能性がある。
攻撃者は“あの手この手”でWMF関連の脆弱性を狙っている。同脆弱性をふさぐ修正パッチが米Microsoftからリリースされるのは米国時間1月10日なので(関連記事),それまでは回避策を実施して被害に遭わないようにしたい(関連記事)。併せて,利用しているソフトウエアを最新の状態に保つことも重要である。
◎参考資料
◆New trojan being distributed via WMF spam
