Windowsのショートカットを悪用した新たなゼロデイ攻撃に対して警鐘

企業内でのUSBメモリ使用に関するガイドライン刷新とWindowsXPService Pack 2からの移行を推奨


フィンランド、ヘルシンキ発 - 2010年7月20日
マイクロソフトは、現在マイクロソフトがサポートしているすべてのOS (Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003) に重大な脆弱性があるとし、先週金曜日にSecurity Advisory 2286198を公開しました。この新しい脆弱性は主にUSBメモリ、もしくはネットワークでのファイルシェアやWebDAVを通したファイルのシェアを通して悪用される可能性があります。ショートカットファイル (.lnk) がGUIに読み込まれるだけで、コードが実行されてしまうため、USBメモリに保存されたファイルをWindows Explolerで閲覧するだけで、悪意のコードが実行されてしまいます。現状ではこの脆弱性を狙った攻撃は限定的ですが、数週間の内にこの脆弱性を悪用した攻撃が増加していくと考えられます。

このWindowsのショートカットに関する脆弱性は、Stuxnetと呼ばれるルートキットの調査中に発見されたもので、発電所などの産業設備インフラの監視制御に用いられているシーメンスSCADAシステムを狙ったものが確認されています。このケースで使用されるショートカットファイルは、Exploit: W32/WormLink.Aとして検出されます。

この脆弱性を悪用した攻撃手法は、既に実証されており、その手法は先週末にかけてインターネット上の脆弱性データベースに投稿されています。エフセキュアは、マルウェア作成者が公開された攻撃手法を近い将来悪用するであろうと予測し、警鐘を鳴らしています。

エフセキュアのセキュリティ研究所のセキュリティ アドバイザーを務めるショーン・サリバンは、次のように述べています。「この脆弱性を突いた攻撃は非常に危険で、マイクロソフトがセキュリティ修正パッチを公開するまでの間、脅威が拡大するでしょう。さらに、マイクロソフトはWindows XP Service Pack 2のサポートを終了しており、じきにリリースされるであろう修正パッチによってSP2が完全にこの脅威から保護されない可能性があります。Windows XP Service Pack 2は依然多くの組織に使用されていますから、これは深刻な問題です。」

エフセキュアはWindows XP Service Pack 2の企業ユーザに向けて、Windows XP Service Pack 3へ移行する、或いはマイクロソフトが提示している回避策を早急に実施することを勧めています。更に、企業はUSBメモリ使用に関するガイドラインを制定する、もしくはレビューをする必要があります。

ショーン・サリバンは更に「この脆弱性を悪用した脅威は、USBメモリなどのリムーバブル メディアの使用に関するセキュリティポリシーとその順守によって、ある程度緩和することができます。既にセキュリティ ポリシーを制定している企業は、この機会にポリシーをレビューし、順守を徹底してください。リムーバブル メディアの使用に関するセキュリティポリシーが制定されていない企業は危険にさらされることになるでしょう。」と続け、注意を喚起しています。

エフセキュアのセキュリティ研究所では、引き続き、このWindowsのショートカットを悪用したゼロデイ攻撃に関する調査を進めており、最新ニュースに関しては、随時エフセキュアブログで公開して参ります。
リンク

------------------------------------------------------------
*エフセキュアの社名、ロゴ、製品名はF-Secure Corporationの登録商標です。
*本文中に記載された会社名、製品名は各社の商標または登録商標です。