マイクロソフト、新種のWindowsバグの駆逐へ--WMF脆弱性を受け

　Microsoftは、先日発見されたWindowsの深刻な脆弱性と同様の欠陥が存在していないかどうか、自社製品のコードを徹底的に調査し、今後そうした問題が起こらないようにするため、開発作業過程を刷新する予定だ。

　MicrosoftのSecurity Response CenterディレクターKevin KeanおよびDebby Fry Wilsonは、CNET News.comのインタビューに応じ、「Windows Meta File（WMF）」の画像処理法に関して見つかった今回の脆弱性は、同社がこれまでに対処してきたいかなるセキュリティ脆弱性とも異なるものだと話した。通常の場合、プログラムに予期しない脆弱性が発見され、ハッカーがこれを悪用してコードを実行する。対照的に、WMFの問題は、ソフトウェア機能が思いも寄らない方法で用いられることに起因する。

　新たな脅威の登場を受けたMicrosoftは、新旧の自社製品を調査し、同様の問題が発生するのを防いでいくとしている。

　「Microsoftは、こうしたタイプの攻撃が起こる可能性を認識している。消費者には、製品のコードを調べ、攻撃の原因となるあらゆる脆弱性の有無を確認することを約束する」と、Fry Wilsonは述べた。

　2002年に「Trustworthy Computing Initiative」という取り組みを開始したのを皮切りに、Microsoftはセキュリティの改善に努めてきた。だが、今回のWMF問題では、Microsoftが既存の問題を見逃していたことが明らかになり、その取り組みの姿勢が疑問視されていると話すアナリストもいる。

　GartnerのアナリストNeil MacDonaldは、「この問題は、数年前に発見され排除されていてしかるべきものだ。しかし、Microsoftは画像フォーマットファイルを見落とし、このたびのWMFの問題が持ち上がった」と指摘する。

　専門家によれば、サイバー犯罪者は同様のバグを見つけようと奔走しており、Microsoftはそうした相手ともしのぎを削らなければならなくなったという。Microsoftは今日に至るまで、コンピュータユーザーを攻撃しようともくろむ犯罪者との戦いを繰り返している。

　フィンランドのセキュリティ企業F-Secureでチーフリサーチオフィサーを務めるMikko Hypponenは、1980年代後半にWMFファイルが開発された際、PC上で実行可能なコンピュータコードを画像ファイルに含ませる機能が実装されたと説明している。

　「これはバグではなく、当時は必要とされていた機能だった。今となっては、問題の多い時代遅れのデザインだ」とHypponenは言う。この画像ファイルフォーマットは1990年代初め、Windows 3.0に初めて搭載された。古い低速なシステムでは、画像ファイルに含まれる実行可能コードによって、大容量画像ファイルの処理が阻害されている可能性があると、専門家は話している。

　WMFの脆弱性を修復するパッチをMicrosoftに先んじて公開し話題になった、ヨーロッパのソフトウェア開発者Ilfak Guilfanovも、そうした見解に同意している。「WMFは、ソフトウェアデザインにおける情報セキュリティの重要性が軽視されていた大昔に設計されたものである」（Guilfanov）