米SANS Instituteなどは米国時間9月25日,Windowsなどのセキュリティ・ホールを突くJPEGファイルを作成するツール・キットが公開されたことを警告した。米国時間9月27日には,ツール・キットで作成したと思われるJPEGファイルがニュース・グループに投稿されたという。ツールで作られたJPEGファイルはウイルス対策ソフトで検出できる場合がある。パッチの適用はもちろんのこと,対策ソフトのウイルス定義ファイルもきちんと更新しておこう。
フィンランドF-Secureの情報によると,公開されているツール・キットを使えば,特定のファイルをダウンロードして実行するJPEGファイルを容易に作成できるという。そのJPEGファイルをセキュリティ・ホールがある環境で開くと,作者が指定したURL(JPEGファイルにハード・コーディングされているURL)から特定のファイルをダウンロードさせられて実行させられる。
ニュース・グループに投稿されたJPEGファイルは,このツールを使って作成されたと考えられている。セキュリティ・ホールがある環境で開くと,あるファイルを特定のサイトからダウンロードしようとする(現在では,そのサイトは閉鎖されている)。なお,一部のメーリング・リストなどでは,このJPEGファイルを“JPEGウイルス”としているが,感染や増殖はしないのでウイルスやワームではない。
ただし,ウイルス対策ソフトの多くは,このツールや,ツールで作られたJPEGファイルを“広義のウイルス(悪質なソフトウエア)”として検出する。例えばシマンテックの対策ソフトでは,ツール・キットを「Hacktool.JPEGDownload」,作成したJPEGファイルを「Download.Trojan」として検出する。トレンドマイクロ製品は,それぞれ「HKTL_JPGDOWN.A」,「EXPL_JPGDOWN.A」として検出する。
このため,ウイルス対策ソフトを正しく使う(「最新のウイルス定義ファイルを使う」や「常駐させて利用する」など)ことも,悪質なJPEGファイル対策として有効である。
とはいえ,「セキュリティ・ホールをふさぐ」「信頼できないファイル/リンクは,開かない/クリックしない」――ことが第一の対策である。F-Secureなどは,「遅かれ早かれ,メールで感染を広げるような“JPEGウイルス”が出現するだろう」と予測している。JPEGウイルスが出現しても慌てないように,きちんと対策を施しておこう。
◎参考資料
◆JPEG exploit toolkit , JPEG Hacktool, GDIScan Tool, In search of the Botnet - Lessons learned(SANS Institute)
◆Microsoft Windows JPEG コンポーネントにバッファオーバーフロー(JP Vendor Status Notes)
◆JPG vulnerability exploit(F-Secure)
◆MS04-028 Public Exploit Attempts, VENDORS TAKE NOTE, Contacting ISC(SANS Institute)
◆JPEG exploits(F-Secure)
(勝村 幸博=IT Pro)
