PR

 Windowsのセキュリティ・ホール(脆弱性)を突く画像ファイルが置かれたWebサイトが急増しているとの情報が,セキュリティ関連のメーリング・リストやWebサイトに寄せられている(関連記事)。脆弱性を突くファイルが置かれたサイトへアクセスすると,ファイルに仕込まれたプログラムが勝手に動き出し,別のサイトに置かれたスパイウエアやウイルスなどをダウンロードおよび実行させられる。修正パッチは未公開。信頼できないサイトへは極力アクセスしないようにしたい。

 パッチ未公開のWindowsの脆弱性を突くWebサイトが“増殖”しているという。セキュリティ関連のメーリング・リストやWebサイトには,そのようなサイトの具体的なURLが多数掲載されている。数十のURLをリストアップしているサイトも存在する。

 それらの情報によると,掲示板サイトの書き込みやブログ・サイトのトラックバックなどに,脆弱性を突くサイトのURLが記載されているケースが多いという。ファイルのアップロードが可能な掲示板には,脆弱性を突く画像ファイルが置かれている場合もあるという。

 リンクを次々とたぐっていくのがWebの“醍醐味”ではあるが,修正パッチが公開されていない現状では,危険な行為といえるだろう。この年末年始休暇については,信頼できないサイトへはアクセスしないほうが無難である。

 現時点(12月31日)での回避策として,マイクロソフトでは「Windows画像とFaxビューア(Windows Picture and Fax Viewer)」を無効にすることを挙げている。Windows画像とFaxビューアのDLL「Shimgvw.dll」の登録を無効にする。具体的には,「ファイル名を指定して実行」に,

regsvr32 -u %windir%\system32\shimgvw.dll

と入力して実行する(「OK」をクリックする)。無効にすることで問題が発生した場合には,

regsvr32 %windir%\system32\shimgvw.dll

と入力して実行すれば有効になる。

 ただしSANS Instituteの情報によれば,アプリケーションの中には,Shimgvw.dllを直接呼び出して,レジストリに再登録するものがあるという。このため,Shimgvw.dllを削除あるいは名前変更するほうがより安全だと考えられる。この場合には,パッチ適用前に復旧あるいは名前の再変更を忘れてはいけない。

 併せてSANSでは,「ファイルの拡張子によるフィルタリングは役に立たない」といった情報も公開している。拡張子が.wmf以外でもWMF画像ファイルである場合があるので「.wmf以外のファイルは安全」と考えると危険である。

◎参考資料
Musings and More WMF Information
Informational Alert: Zero-day profiteering
TROJ_NASCENE.C
TROJ_NASCENE.B
TROJ_NASCENE.A
Bloodhound.Exploit.56
Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある