PR
悪質な画像ファイルをダウンロードさせようとする偽メール(F-Secureの発表情報から引用)
悪質な画像ファイルをダウンロードさせようとする偽メール(F-Secureの発表情報から引用)
[画像のクリックで拡大表示]

 フィンランドF-Secureは現地時間1月4日,Windowsに見つかったパッチ未公開の脆弱性(セキュリティ・ホール)を突いてボット(悪質なプログラムの一種)をインストールさせる画像ファイルが出回っているとして注意を呼びかけた。未対策のパソコンにおいて,攻撃者が送信するメール中のリンクをクリックすると,ボットが勝手に埋め込まれてパソコンを乗っ取られる恐れがある。

 ボットとは,攻撃者がパソコンを乗っ取るために使う悪質なプログラム(関連記事)。ボットが実行されると,そのパソコンは仮想的なネットワーク「ボットネット」の一部となり,攻撃者の思い通りに操られる。具体的には,スパム(迷惑メール)やDDoS(サービス妨害)攻撃の踏み台などに悪用される(関連記事)。

 F-Secureが今回報告した手口は,12月末に見つかったWindowsメタファイル(WMF)の処理に関するWindowsの脆弱性を突くもの(関連記事)。英文のメールを使って,脆弱性を突くWMF画像ファイルが置かれたWebサイトへユーザーを誘導する。

 Yale大学のRobert Gordens教授(実在しない)から送られてきたように見せかけるそのメールでは,同大学の学生による暴力行為を警告している。窓ガラスの破壊や自動車への落書きが行なわれているとして,その証拠写真をアップロードしたというWebサイトへのリンクが記されている。

 しかし実際には,そのサイトに置かれているのは脆弱性を突くWMF画像ファイル。回避策を施していないWindows環境でそのサイトにアクセスすると,画像ファイルが勝手にダウンロードされてファイルに仕込まれたプログラムが動き出す。そのプログラムはTFTPを使ってあるサイトからボット(Breplibot.Q)をダウンロードし実行する。

 ボットが動き出すと,そのパソコンはIRC経由で攻撃者に操られるようになる。加えてそのサイトには,Firefox 1.0.4以前の脆弱性を突くコードも置かれているという。このため,WMF関連の脆弱性に対する回避策を実施していても,古いFirefoxを使っている場合にはボットを仕込まれる可能性がある。

 攻撃者は“あの手この手”でWMF関連の脆弱性を狙っている。同脆弱性をふさぐ修正パッチが米Microsoftからリリースされるのは米国時間1月10日なので(関連記事),それまでは回避策を実施して被害に遭わないようにしたい(関連記事)。併せて,利用しているソフトウエアを最新の状態に保つことも重要である。

◎参考資料
New trojan being distributed via WMF spam