米国時間1月25日以降,Windows XPに見つかったセキュリティ・ホールが話題になっている。Windows XPでは,任意のプログラムを含むHTMLファイルをフォルダに見せかけることができる。ユーザーがこのファイルをフォルダだと思って開くと(ダブル・クリックすると),Windows XPはファイル内に記述されたHTMLを解釈し,ファイルに含まれるプログラム(スクリプトやエンコードされたバイナリ・プログラム)を実行してしまう。

 米Microsoftはこの件に関するセキュリティ情報やパッチを公開していない。設定でも回避できない。対策は,信頼できないフォルダ(ファイル)は安易に開かないこと。フォルダのアイコンが表示されていても,実はフォルダではなく,ファイルである可能性があるのだ。

 今回のセキュリティ・ホールは,米国時間1月25日にセキュリティ関連のメーリング・リスト「Bugtraq」に投稿された。1月26日には,セキュリティ・ベンダーの「Secunia」がアドバイザリを公開した

 Windows XPでは,新たに「.folder」拡張子が用意された(Windowsのデフォルト設定では表示されない)。ファイルにこの拡張子を付けると,フォルダとして扱われ,ファイルのアイコンはフォルダのアイコンになる。しかし,「.folder」ファイルにHTMLが記述されている場合には,ファイルが開かれると(ダブル・クリックされると),Windows XP(Windows Explorer)は,HTMLファイル(.htmや.htmlなど)が開かれた場合と同様に,記述されたHTMLを解釈して実行してしまう。HTMLにはスクリプトやエンコードしたバイナリ・プログラムを含められるので,それらも実行される。

 今回のセキュリティ・ホールを実証する,“無害”のプログラムを含んだHTMLファイル(アイコンはフォルダ)がいくつかのWebサイトで公開されている。試したところ,最新のパッチを適用している環境でも,プログラムは実行された。

 対策はユーザーが注意することに尽きる。特に,信頼できないWebサイトなどから入手した圧縮ファイル(zipやlzh)を展開した場合には注意する必要がある。展開して作成されたものが一見フォルダであっても,危険なファイルである可能性がある。安易にダブル・クリックしてはいけない。

 Windowsの設定を変更して,すべての拡張子を表示させるようにすれば,助けになる場合があるだろう。すべての拡張子を表示させれば,フォルダに見せかけたファイルには,「.folder」の拡張子が表示される。Windowsの「ツール」メニューから「フォルダ オプション」を選択して,「表示」タブをクリックする。そして,「詳細設定」の中の「登録されている拡張子は表示しない」のチェックを外す(デフォルトはチェックされている)。

 また,ウイルス対策ソフトのいくつかは今回のセキュリティ・ホールに対応している。このセキュリティ・ホールを突くようなファイルはウイルスとして検出される。

 安全なファイル種類のアイコンを表示して,ユーザーに実行させようとする手口は目新しいものではない。コンピュータ・ウイルス作者にとっては常とう手段の一つといえる。フォルダ・アイコンを表示してユーザーを油断されるウイルスは複数存在する(関連記事)。最近感染を広げている「Mydoom」ウイルスも,テキスト・ファイルのアイコンを表示する場合がある(関連記事)。信頼できないところから入手したファイルについては,どんなアイコンが表示されようとも,十分注意する必要がある。

◎参考資料
Self-Executing FOLDERS: Windows XP Explorer Part V
Windows XP Malicious Folder Automatic Code Execution Vulnerability
Unpatched Internet Explorer Bugs
(勝村 幸博=IT Pro)