PR
悪質なWMF画像ファイルが置かれたWebサイトの例(F-Secureの発表資料から引用)
悪質なWMF画像ファイルが置かれたWebサイトの例(F-Secureの発表資料から引用)
[画像のクリックで拡大表示]

 フィンランドF-Secureは現地時間1月16日,Windowsメタファイル(WMF)のセキュリティ・ホールを悪用する攻撃が相次いでいるとして注意を呼びかけた。最近では,有名企業をかたった偽メールを送って,セキュリティ・ホールを突くWMF画像ファイルが置かれたWebサイトへ誘導する手口が確認されているという。修正パッチは1月6日に公開されている関連記事)。未適用のユーザーはすぐに適用したい。

 WMFに関するWindowsのセキュリティ・ホールは12月末に第三者により明らかにされ,以降,攻撃者の“格好”の標的となっている(関連記事)。悪用することが容易である上,セキュリティ・ホールを突く画像ファイルを作成するプログラムがネットに出回っているためだ。米SANS Insituteは現地時間1月16日,指定したURLに置いたプログラム(スパイウエアやボットなど)を勝手に実行させるような画像ファイルを作るソフトが確認されているとして,改めて注意を呼びかけている

 1月6日にはマイクロソフトから修正パッチが公開されたものの,パッチ未適用のユーザーは少なくないと考えられ,依然,攻撃対象となっている。F-Secureでは,「今後数カ月あるいは数年にわたって,このセキュリティ・ホールは狙われ続けるだろう」としている。

 攻撃手法も“工夫”が凝らされている。同社が今回注意を呼びかけたのは,フィッシングの手法を用いたもの。HSBC銀行をかたったメールを不特定多数へ送信して,悪質な画像を置いたWebサイトへアクセスさせる。同サイトのドメイン名は「jhsbc.com」(現在は閉鎖されている模様だが,アクセスしないように)。本物のドメイン名「hsbc.com」に似せている。偽メールにだまされて同サイトへアクセスすると,パソコンの情報を盗むスパイウエア「Trojan-Spy.Win32.Goldun」の変種を勝手にインストールされる恐れがあった。

 F-Secureが書いているように,このセキュリティ・ホールは今後も狙われ続けることが予想される。セキュリティ・ホールを悪用する新たな手口やプログラムも出現し続けるだろう。パッチを適用して,きちんと対策を施しておきたい。

◎参考資料
WMFishing(F-Secure)
WMF Generator(SANS Institute)