MS、月例パッチでWMF脆弱性に対応へ--専門家は進展の遅さに懸念を表明

　Windowsの深刻な脆弱性を悪用した攻撃が増加している。しかし、Microsoftは、来週まで修正パッチをリリースする計画はないと述べている。

　セキュリティ専門家らは、これに対し、来週のパッチリリースでは遅いと述べている。問題の脆弱性は、同社製オペレーティングシステムにおけるWindows Meta File（WMF）イメージのレンダリング処理に存在するもので、これが悪用されると、ユーザーPCは悪質な画像を含んだウェブページを開いただけでマルウェアに感染してしまう。個人や企業のユーザーは同脆弱性が修正されるまで、深刻なリスクに直面することになると、専門家らは述べる。

　セキュリティベンダーComputer Associates Internationalでバイスプレジデントを務めるSam Curryは「ハッカーの間で、この脆弱性は広く知られるようになってきている。また、この脆弱性は簡単に悪用できる」と述べる。「これは深刻な事態として受け止められるべきで、早急に対処する必要がある。できるだけ早くパッチを出すというのが、責任ある企業のやり方だ」（Curry）

　セキュリティパッチのリリース方法について、Microsoftが非難されるのは、今回が初めてではない。Microsoftはこうした批判に応じ、システム管理者がシステムアップデートをあらかじめ計画できるように月例パッチリリースの仕組みを取り入れた。しかし、今回のWMF脆弱性のように、緊急性の高い事態が発生した場合は、月例パッチを待たずに、早急にフィックスをリリースすべきだと、批判する者も多い。

　WMFの脆弱性に関する詳細は、先週明らかにされた。この脆弱性が公開されて以来、これを悪用したウェブサイトやトロイの木馬が数多く出現したほか、インスタントメッセージを介して拡散するワームも見つかっていると、複数のセキュリティレポートには記載されている。

　独マクデブルク大学でウイルス対策ソフトウェアを研究するAndreas Marxによると、すでに100万台以上のPCにおいて同脆弱性が悪用されているという。同氏は、マルウェアをインストールするプログラムのコピーが何件出回っているかを表示するウェブサイトを発見した。

　Microsoftは、次回の月例アップデート日である米国時間1月10日に、同脆弱性の修正パッチをリリースすると述べている。セキュリティ対策企業Symantecは、パッチのリリースが遅れれば、その分だけ攻撃者のチャンスは増大すると警告している。