トレンドマイクロ、トロイの木馬「emfsploit.a」を再調査―未知の脆弱性を悪用か

　Microsoftは米国時間8日に、Windowsに存在する画像レンダリング処理の脆弱性を修正するパッチを公開したが、その翌日にこの脆弱性を悪用するトロイの木馬が見つかったと発表していたTrend Microが、この発表内容に関して再調査を始めている。

　Trend Microは当初、トロイの木馬「emfsploit.a」が、このパッチが適用されていないWindowsマシン上の「explorer.exe」ファイルを破壊すると発表していた。同ファイルは、スタートメニューやタスクバー、デスクトップ、ファイルマネージャなど、Windowsの主要な機能に関連するグラフィカルユーザーインターフェース（GUI）環境を表示する役割を果たす。

　しかし10日夜になって同社は、emfsploit.aの初期調査に不備があった可能性があることを明らかにした。

　Trend MicroのRaimund Genes（欧州地域担当チーフテクノロジスト）は、「初期調査を行ったのとは別のチームへ、emfsploit.aのディスアセンブリを行うように指示した」と述べ、同社の研究者がこのトロイの木馬のコードを再調査することを示唆した。

　Trend Microは、自社サイトのウイルスデータベースに記載されているemfsploit.aの情報も更新している。

　これまで同サイトでは、emfsploit.aについてWindows脆弱性を悪用するものだと書かれていた。しかし、現在はその記載が「（Microsoftのセキュリティ情報）MS05-053で明らかになったEnhanced Metafile脆弱性で、Microsoftが言及しているような攻撃と似た動きをみせる」と書き換えられている。

　「Trend Labチームでは現在、Microsoftと協力しながら、TROJ_EMFSPLOIT.Aが本当にMS05-053の脆弱性を悪用するのかどうかを調査している。このトロイの木馬は、MS05-053の脆弱性と関連性があるものの、完全にこれを悪用したものではないとの可能性がある」とGenesはCNET News.comに宛てた電子メールのなかで述べている。

　Trend Microは、emfsploit.aがWindows XPシステム上の特定のファイルをクラッシュさせることを突き止めたが、同トロイの木馬の動きはMS05-053に記載されて情報と必ずしも一致しないという。Microsoftでは、MS05-053で公開された脆弱性の影響を受けるオペレーティングシステムがWindows XP Service Pack（SP） 1とWindows XP SP 2であるとしているが、Trend Microによると同トロイの木馬の影響を受けるのはWindows XP SP 1だけだという。