マイクロソフトが9月15日に公開したセキュリティ・ホールはとても危険だ(関連記事)。細工が施されたJPEGファイルを開くだけで,任意のプログラムを実行させられる可能性がある。危惧されるのは,メールで感染を広げる“JPEGウイルス”の出現だ。「ファイルを開くと,自分のコピーを添付したメールを手当たり次第に送信する」――といったウイルスである。

 この場合,HTMLメールを表示するメール・ソフト(例えば,OutlookやOutlook Express)を使っている場合には,メールをプレビューするだけでウイルスに感染する。HTMLメールを表示させない設定にしている場合でも,JPEGウイルスはJPEG画像の添付ファイルに見えるので,つい油断してダブルクリックしてしまうだろう。

 セキュリティ・ベンダーや組織の多くは,「JPEGウイルスの出現は時間の問題」と考えている。実際,セキュリティ・ホールを突くJPEGファイルが次々とインターネット上に公開されている(関連記事1関連記事2)。セキュリティ・ホールが公開された2日後には,Windows XPのシェル(explorer.exe)を強制終了させるファイルが出現した。その一週間後には,コマンド・プロンプトを勝手に表示させるファイル(cmd.exeを勝手に起動するファイル)や,管理者権限を持つユーザーを勝手に追加するファイルが出現している。

 そして,悪質なJPEGファイルを作成するツールまで公開され,そのツールを使って作成されたと思われるJPEGファイルがニュース・グループに投稿された(関連記事)。このツールを使えば,指定のサイトから特定のプログラムをダウンロードして実行するJPEGファイルを作れてしまう。

 このJPEGファイル自体は感染も増殖もしないので,一般的にはウイルスではない。だが,別のウイルスをダウンロードさせるようなJPEGファイルは作成可能だ。外部からアクセス可能にする「バックドア」や,ユーザーのキー入力を記録する「キーロガー」といったプログラムを仕込むこともできる(注)

注:一部ではJPEGウイルスが既に出現したという報道があるが,それら報道での“ウイルス”という言葉は,「悪質なプログラム全般」を指しているものと思われる。現在ではウイルスの定義があいまいになっているので,悪質なプログラム全般を(広義の)ウイルスと呼ぶ場合もある。しかし,一般的には「感染あるいは増殖する悪質なプログラム」を,ウイルス(あるいはワーム)と呼ぶ場合が多い。9月29日午後7時現在では,狭義のJPEGウイルス――すなわち,感染あるいは増殖するJPEGファイル――の存在を筆者は確認していない。

 もはや,JPEGウイルスがいつ出現しても不思議ではない。この記事を書いている最中に公開されているかもしれないし,既に筆者の知らないところで公開されているかもしれない。JPEGウイルスが出回る前に,きちんと対策を施しておこう。

対策していれば慌てる必要なし

 対策は修正パッチを適用してセキュリティ・ホールを解消すること。とはいえ,今回のセキュリティ・ホールの影響範囲は広い。セキュリティ・ホールが存在するライブラリ「gdiplus.dll」は,さまざまなソフトに含まれているためだ。いつもなら,「Windows Updateを実施する」あるいは「Office Updateを実施する」の一言で済むところが,今回はそうはいかない。gdiplus.dllを含むソフトそれぞれにパッチを適用する必要がある。

 具体的な手順は,マイクロソフトが公開する「絵でみるセキュリティ情報 MS04- 028 : Windows の重要な更新」や「2004 年 9 月リリースの JPEG 処理 (GDI+) のセキュリティ更新プログラム」が参考になる。

 まずは「Windows Update」を実施する。そして,Officeユーザーは「Office Update(Officeのアップデート)」を実施する。Windows UpdateやOffice Updateの対象になっていないソフトウエアについては,個別にパッチをダウンロードして適用する。「2004 年 9 月リリースの JPEG 処理 (GDI+) のセキュリティ更新プログラム」のページで,パッチを適用する必要があるソフトウエアがインストールされているかどうかをチェックできる。

 セキュリティ・ホールのあるgdiplus.dllは,マイクロソフト以外の製品に含まれている場合もある。そのためのチェック・ツール「Microsoft GDI+ 検出ツール 」をマイクロソフトは公開している。ツールの利用には,チェック対象パソコンの管理者権限が必要である。

 米SANS Insitituteも同様のツール「GDI Scan」を公開している。そのほか,「GDIPlus Reporting Utility」というツールも公開されている(関連記事)。

 マイクロソフト以外のベンダーが公開する情報も参照したい。例えば,米Macromediaでは,同社製品にはセキュリティ・ホールのある「gdiplus.dll」が含まれるものの,JPEGの処理には利用しないのでセキュリティ・ホールの影響を受けないとしている(同社のページ関連記事)。画像処理のライブラリを含んでいそうなソフトウエアを使っている場合には,そのベンダーのWebサイトへアクセスして情報を探してみよう。

 マイクロソフト以外のベンダーの情報は,IPAとJPCERT/CCによって運営されている「JP Vendor Status Notes」に一部掲載されている。米US-CERTが公開する「Microsoft Windows GDI+ contains a buffer overflow vulnerability in the JPEG parsing component」にも掲載されている。現在は「Unknown(影響を受けるかどうか分からない)」の記述が多く,あまり参考にならないが,今後更新されるだろう。

 今回のセキュリティ・ホールは,身近なJPEGファイルが対象なのでインパクトが大きいが,「Webページを閲覧するだけで」あるいは「メールをプレビューするだけで」,「ファイルを開くだけで」被害に遭うセキュリティ・ホールはこれまでにも多数見つかっている。万全の備えが必要だが,決して慌てる必要はない。

 とにかく,「影響を受けることが分かっているソフトウエアには,きちんとパッチを適用する」「信頼できないファイルは開かない」――といったセキュリティのセオリーを守ってほしい。また,セキュリティ・ホールを突くJPEGファイルが見つかるたびに,アンチウイルス・ベンダーはそのファイルに対応したウイルス定義ファイルを公開している。JPEGウイルスが出現すれば当然対応するだろう。このため,ウイルス対策ソフトを正しく使う(「常駐させる」や「定義ファイルを更新する」)ことも重要だ。

(勝村 幸博=IT Pro)