「英国議会もWMF攻撃を受けていた」--セキュリテイ専門家が明らかに

　セキュリティ専門家らは現地時間20日、英国議会が、Microsoft Windowsの深刻な脆弱性を悪用した攻撃の対象になっていたことを認めた。

　英国政府に電子メールフィルタリング製品を提供しているMessageLabsがZDNet UKに語ったところによると、政府の各部局に勤める複数の個人宛てに、コンピュータの制御を奪おうとする電子メールが送られてきたという。この電子メールは、「Windows Meta File（WMF）」に存在する脆弱性を悪用しようとしていた。

　MessageLabsのウイルス対策事業マネージャMark Toshackは、攻撃が起こったのは2005年のクリスマスシーズンで、問題の電子メールは中国から送信されてきたと述べている。なお、この電子メールは、政府のシステムに到達する前に検出されたという。

　「IPアドレスのログから、攻撃の発信源が中国であると特定できた。英政府を狙った（電子メールによる）攻撃は1件も成功しておらず、被害にあった職員もいない。政府が攻撃されたのは事実だが、われわれが告げるまで、彼らはそのことを知らなかった」（Toshack）

　2005年11月、WindowsがWMFイメージを処理する方法に脆弱性が発見された。これを悪用する攻撃では、悪質なコードが隠された、一見問題のなさそうな画像が利用される。攻撃者はこうした画像を、電子メールやインスタントメッセージを介してユーザーに送り付けることが可能だ。

　同脆弱性を突こうとする悪質なコードは2005年12月29日に初めて確認されたが、Microsoftは2006年1月5日まで公式パッチを提供しなかった。それまでの間に、あるセキュリティ研究者が独自の非公式パッチをリリースしている。

　英国議会に対する攻撃は、Microsoftの公式パッチが利用できるようになる前の1月2日朝に起こった。ハッカーは、ソーシャルエンジニアリングを利用した電子メールを送信し、受信者がトロイの木馬「WMF/Setabortproc」を含む添付ファイルを開くよう誘導した。

　このトロイの木馬がダウンロードされた場合、攻撃者は、PC内のファイルを盗み見ることが可能だった。さらに、ハッカーによって悪質なキーロガーソフトウェアがインストールされ、機密性の高い政府のパスワードが閲覧されるおそれがあったと、Toshackは述べている。

　MessageLabsは、今回の攻撃は対象者ごとにカスタマイズされており、合計で70名の個人に対して仕掛けられたことを明らかにした。攻撃者は、政府のセキュリティ組織が送信したように電子メールを偽装することで、受信者が自然にメッセージに興味をもつように意図していたという。トロイの木馬は、「map.wmf」とされる添付ファイルに隠されていた。

　問題の電子メールの中には、次のような内容を含むものがあった。

　「デジタル地図のファイルを添付しました。地図に示されている場所で、各自ある男性と接触してください。面会が済み次第、地図ファイルは消去してください。幸運を祈る--トミー」

　Toshackは、もしこうした電子メールが宛先に届けられていれば、ハッカーのたくらみは成功したかもしれないと話す。「スパイ組織から連絡を受けたように感じられるメッセージで、『M15のエージェントに任命された』と思いこむユーザーが出てきてもおかしくない。人々がスパイというものに対して感じている、夢見がちな思いをうまく利用するものと言えるだろう」（Toshack）