セキュリティ組織やベンダー各社は,12月末に公表されたWindowsの脆弱性(セキュリティ・ホール)を突く攻撃が次々出現しているとして注意を呼びかけている。英Sophosでは,200を超える攻撃手法(攻撃用のメールやWebサイト)を確認しているという。いたずらに不安がる必要はないが,そのような状況であることを認識しておきたい。
基本的な攻撃手法はフィッシングと似ている。メールやIM(インスタント・メッセージ)に記述したリンクを使って,悪質な画像ファイルを置いたWebサイトへユーザーを誘導する。脆弱性の回避策を施していないWindowsマシンでそのようなサイトへアクセスすると,悪質な画像ファイルが勝手にダウンロードされて,中に仕込まれたプログラムが動き出す。ほとんどの場合,プログラムの実体は,別のサイトから悪質なプログラム(ボットやスパイウエアなど)をダウンロードして実行する「ダウンローダ(downloader)」である。
ユーザーを誘導するメールやIMの内容はさまざま。フィッシング同様,ユーザーが思わずクリックしたくなるような文章が書かれている場合が多い(関連記事)。スパム(迷惑メール)と同じように不特定多数へ向けて送られることがほとんどだが,何らかの方法で入手したリストに基づいて,特定のユーザーへ送られているケースも確認されているという(関連記事)。
米SANS Instituteによれば,季節柄,年賀状メール(グリーティング・カード)に見せかけている場合もある。「あなたにグリーティング・カードが届いています」という内容で,実際に存在するグリーティング・カード・サービスを提供するサイトのURLが記述されている。しかし,リンク先は全く異なるサイト。リンクをクリックすると,攻撃者が用意したサイト(多くの場合,フリーのホスティング・サイト)へ誘導される。
悪質な画像ファイルをダウンロードさせるような“細工”が施されているのは,攻撃者が用意したサイトとは限らない。有名なサイトが不正侵入を受けて,そのWebページ中に,悪質な画像ファイルをダウンロードさせるようなIFRAMEタグが挿入されているケースもあるという。
悪質な画像ファイルがメールに添付されて直接送られてくるケースも確認されている(関連記事)。添付ファイルを開いたり,プレビュしたりするだけで被害に遭う可能性がある。
さらにスペインPanda Softwareなどによれば,悪質な画像ファイルを“手軽”に作成するツールもネット上で出回っている。一部のウイルス対策ソフトは,作成ツールをウイルス(悪質なプログラム)の一種として検出・駆除する。
米Microsoftが修正パッチをリリースする1月10日(米国時間)までは,同社などが公開している回避策を実施して,被害に遭わないようにしたい(関連記事1,関連記事2)。
◎参考資料
◆Unpatched Microsoft WMF vulnerability exploited in over 200 different attacks(英Sophos)
◆What do the bad guys do with WMF?(米SANS Institute)
◆Tool for camouflaging threats in WMFs discovered, informs Panda Software(スペインPanda Software)