Windowsのセキュリティ・ホール(脆弱性)を突く画像ファイルが置かれたWebサイトが急増しているとの情報が,セキュリティ関連のメーリング・リストやWebサイトに寄せられている(関連記事)。脆弱性を突くファイルが置かれたサイトへアクセスすると,ファイルに仕込まれたプログラムが勝手に動き出し,別のサイトに置かれたスパイウエアやウイルスなどをダウンロードおよび実行させられる。修正パッチは未公開。信頼できないサイトへは極力アクセスしないようにしたい。
パッチ未公開のWindowsの脆弱性を突くWebサイトが“増殖”しているという。セキュリティ関連のメーリング・リストやWebサイトには,そのようなサイトの具体的なURLが多数掲載されている。数十のURLをリストアップしているサイトも存在する。
それらの情報によると,掲示板サイトの書き込みやブログ・サイトのトラックバックなどに,脆弱性を突くサイトのURLが記載されているケースが多いという。ファイルのアップロードが可能な掲示板には,脆弱性を突く画像ファイルが置かれている場合もあるという。
リンクを次々とたぐっていくのがWebの“醍醐味”ではあるが,修正パッチが公開されていない現状では,危険な行為といえるだろう。この年末年始休暇については,信頼できないサイトへはアクセスしないほうが無難である。
現時点(12月31日)での回避策として,マイクロソフトでは「Windows画像とFaxビューア(Windows Picture and Fax Viewer)」を無効にすることを挙げている。Windows画像とFaxビューアのDLL「Shimgvw.dll」の登録を無効にする。具体的には,「ファイル名を指定して実行」に,
regsvr32 -u %windir%\system32\shimgvw.dll
と入力して実行する(「OK」をクリックする)。無効にすることで問題が発生した場合には,
regsvr32 %windir%\system32\shimgvw.dll
と入力して実行すれば有効になる。
ただしSANS Instituteの情報によれば,アプリケーションの中には,Shimgvw.dllを直接呼び出して,レジストリに再登録するものがあるという。このため,Shimgvw.dllを削除あるいは名前変更するほうがより安全だと考えられる。この場合には,パッチ適用前に復旧あるいは名前の再変更を忘れてはいけない。
併せてSANSでは,「ファイルの拡張子によるフィルタリングは役に立たない」といった情報も公開している。拡張子が.wmf以外でもWMF画像ファイルである場合があるので「.wmf以外のファイルは安全」と考えると危険である。
◎参考資料
◆Musings and More WMF Information
◆Informational Alert: Zero-day profiteering
◆TROJ_NASCENE.C
◆TROJ_NASCENE.B
◆TROJ_NASCENE.A
◆Bloodhound.Exploit.56
◆Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある