セキュリティ企業の米マカフィーは2008年4月14日、悪質な画像ファイルを作成するツールを確認したことを明らかにした。画像ファイルは、4月9日に公表されたWindowsの脆弱(ぜいじゃく)性を悪用するもの。セキュリティ更新プログラム(修正パッチ)を適用していないパソコンでは、悪質ファイルを読み込むだけでウイルスに感染する恐れがある。
今回確認されたツールで作成されるのは、「[MS08-021]GDIの脆弱性により、リモートでコードが実行される (948590)」の脆弱性を悪用する画像ファイル。この脆弱性は、Windowsの画像処理機能である「GDI(Graphics Device Interface)」に関するもの。Windowsメタファイル(WMF)および拡張メタファイル(EMF)形式の画像を適切に処理できない場合がある。
このため、細工が施されたWMF/EMFファイルを処理しようとすると、バッファーオーバーフローという問題が発生し、ファイルに仕込まれた悪質なプログラムを実行される恐れがある。
実際、この脆弱性を突いて、悪質なプログラム(ウイルス)を実行しようとする画像ファイルが4月10日以降に出現。セキュリティ企業の米シマンテックやマカフィーなどでは既に確認している。
今回マカフィーが確認したのは、脆弱性を悪用する画像ファイルそのものではなく、そういったファイルを作成するためのツール。このツールを使えば、スキルのないユーザーでも、悪質な画像ファイル(画像ウイルス)を作成できてしまう。
マカフィーによれば、今回確認したツールは基本的な機能しか持たない簡単なものだが、今後、このツールをベースに、より“高度”なツールが作成され、公開される可能性が高いという。そうなれば、「MS08-021」の脆弱性を突く画像ウイルスが、多数出回ることになる。
過去に出現した「画像ウイルス作成ツール」としては、2006年1月に修正パッチが公開された「[MS06-001]Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919)」の脆弱性を悪用するものが、大きな被害をもたらした(図)。修正パッチが公開される前の2005年末に第三者によって公表され、それを使った画像ウイルスが、Webやメールを経由して多数のユーザーにばらまかれた。
幸い今回のケースでは、ツールの公開前に修正パッチが提供されているので、「MS06-001」のときほどの被害が出ることはないと考えられる。とはいえ、修正パッチが未適用のパソコンはまだまだ存在する。このためマカフィーでは、画像ウイルスが出回る前に、修正パッチを適用しておくよう改めて警告している。
