写真 攻撃サイトが表示するWebページ(McAfeeの発表情報から引用)
写真 攻撃サイトが表示するWebページ(McAfeeの発表情報から引用)
[画像のクリックで拡大表示]

 米McAfeeは現地時間11月14日,動画ファイルを使って感染を広げる新たなウイルスが確認されたことを明らかにした。セキュリティ・ホールが存在するWindowsパソコンでは,rmvb(RealMedia Variable Bitrate Movie File)形式の動画ファイルを実行するだけで被害に遭う恐れがある。

 今回確認されたウイルス(ワーム)は「W32/Realor.worm」と呼ばれる実行形式ファイル。動画ファイルに感染する(自分自身を埋め込む)わけではない。動画ファイルの再生で表示されるWebサイトからダウンロードされ,Windowsのセキュリティ・ホールを突いて勝手にインストールされる。具体的には,次のように動作する。

 Realorの感染を広げる動画ファイルには特定のリンクが仕込まれていて,Real Playerなどのプレーヤ・ソフトで再生すると,ユーザーに確認を求めることなくWebブラウザ(デフォルト・ブラウザ)が起動し,リンク先のページが表示される。このこと自体はRealMediaファイルの仕様であり,問題のある挙動ではない。

 問題は,このとき表示されるWebページにある。ブラウザには“無害”のエラー・メッセージが表示されると同時に,表示されないIFRAMEに仕込まれたスクリプトが読み込まされる(写真)。

 このスクリプトにはWindowsのセキュリティ・ホールを突く“仕掛け”が施されているため,このセキュリティ・ホールを解消していないパソコンでは,そのWebページが表示された時点で「W32/Lewor.a」というウイルス(悪質なプログラム)がダウンロードされて実行される。

 具体的には,2006年4月に公表された「Microsoft Data Access Components (MDAC) の機能の脆弱性により,コードが実行される可能性がある (911562) (MS06-014)」のセキュリティ・ホールを悪用する。なおMcAfeeでは,このセキュリティ・ホールを突くスクリプトを「Exploit-MS06-014」として,同社セキュリティ・ソフトの検出・駆除対象にしている。

 Lewor.aにはさまざまな“機能”があるが,その一つが,別のプログラムをダウンロードして実行する「ダウンローダ」の機能。実行されたLewor.aは,Realorをダウンロードして実行する。

 実行されたRealorはパソコンに保存されているファイルを検索し,rmvbファイルを見つけると,前述の仕掛け――攻撃サイトへ誘導するリンク――を挿入する。リンクの挿入には,動画作成・編集ソフト「Real Helix Producer」に含まれるツールを利用する。このツールはRealorに含まれていて,Realorが実行されるとそのパソコンにインストールされて利用される。

 つまり,動画ファイルに“感染”するのは,RealorをダウンロードさせるWebサイトのリンク(URL)だけ。その動画ファイルを別のユーザーが実行すると,(セキュリティ・ホールが存在する場合に限り)Realorに感染することになる。

 Realorの危険度は「Low(低)」であり,広くは出回っていないと考えられる。しかしながらRealorが示すように,動画ファイルにも“罠”が仕込まれている可能性がある。危ないのは実行形式ファイルだけではない。利用しているOSやアプリケーションにセキュリティ・ホールがあれば,いかなる種類のファイルでも開くだけで被害に遭う可能性がある。

 最近頻発しているMicrosoft Office製品を狙ったゼロデイ攻撃が“好例”だ。Officeの文書ファイルを開くだけで被害に遭う。テキスト・エディタにセキュリティ・ホールがあれば,テキスト・ファイルを開くだけでも攻撃を受ける恐れがある。実際,2002年12月には,テキスト・エディタ「vi」の改良版である「vim」に悪用可能なセキュリティ・ホールが見つかっているという。どのようなファイルであっても,信頼できないファイルは開かないほうが無難だ。

McAfeeの情報