Windowsのショートカットを悪用するゼロデイ攻撃

マイクロソフト社は2010年7月19日(米国時間)、7月16日公開のセキュリティホール情報を更新しました。既に、このセキュリティホールを悪用するマルウェアがすでに出回っています。McAfee Labsではこの問題を追跡し、調査結果を一問一答形式で、以下に纏めました。

1. ショートカットファイルにまつわる問題とその悪用方法を教えて下さい。
ショートカット(.lnk)ファイルの解析処理には、設計段階でセキュリティホールが生じてしまいました。McAfee Labsでは、これを悪用するマルウェアを分析したことがあります。問題の原因は、Windowsのシェルコンポーネントが、ショートカットからリンク先アプリケーションへと渡される引数を検証しないことに存在していました。ユーザーが何らかの方法で.lnkファイルのアイコンをロードするだけで、サイバー犯罪者に悪用されてしまいます。

2. 今回のマルウェアに攻撃用ペイロード(シェルコード)は必要ですか?
このセキュリティホールはショートカットファイルの解析処理そのものに起因する問題であるため、攻撃用ペイロード(シェルコード)がなくても悪用することが可能です。ショートカットファイルを攻撃用ファイルにリンクしておくだけで十分です。ただ、攻撃用ファイルを指すパスは、ショートカットファイル内に書き込んでおく必要があります。

3. 攻撃を成功させるためには、どのような条件が必要でしょうか?
この攻撃は、悪質な実行可能ファイルとリンクさせた攻撃用ショートカットファイルをWindowsのエクスプローラーかInternet Explorer(IE)に解析させれば起動できます。攻撃用ショートカットファイルは、ダブルクリックされなくてもセキュリティホールを突くことが可能です。単にショートカットが保存されているフォルダを開かせるだけで、Windowsを感染させることができます。

4. このセキュリティホール悪用時によく使われる攻撃手段を教えて下さい。
この攻撃に最も頻繁に使用されている手法は、USBドライブを経由したものです。また、SMBプロトコル経由のファイル共有サービスを悪用する手口も多く存在しており、イントラネット経由のマルウェア感染拡大につながっています。Webサーバー経由でファイル共有するWebDAVも、同じように悪用されやすい状況です。

5. 影響を受けるWindowsの種類を終えてください。
マイクロソフトは「現在サポート対象の全Windowsがこの攻撃の影響を受ける」としています。詳しい情報については、同社のセキュリティ情報で確認戴ければ幸いです。Windows XP SP2は「影響を受けるWindows」として掲載されていませんが、Windows XP SP2のサポート期間はすでに終了しているため、セキュリティホールは未修正のまま放置される可能性があります。

6. 具体的な攻撃の広がり具合 を教えてください。
このセキュリティホールを突くマルウェアが存在することは、既に周知の事実です。当初は限定的な攻撃なものでしたが、セキュリティ検証ツール「Metasploit Framework」により攻撃用モジュールが公開されたところ、WebDAV共有が攻撃手段として使用されるようになりました。このセキュリティホールに対する攻撃は、今後も拡大していくと思われます。ウイルス対策ソフトのアップデートを怠らず、常に最新のウイルス定義ファイル(DAT、シグネチャ)を使用することで、適切な対応をお願いしたく思います。

McAfee Labsではこのセキュリティホールに関係するマルウェアと攻撃手段を引き続き調査し、新しい情報を随時紹介していく予定です。

関連記事

関連情報

※本ページの内容はMcAfee Blogの抄訳です。
原文:Microsoft Zero-Day: Malformed Shortcut Vulnerability

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速