［世界］
Windowsの基本処理で脆弱性が発覚

セキュリティ対策ベンダーは警戒レベルを引き上げ

（2007年03月30日）

　米国マイクロソフトは3月29日、Vistaを含むWindows OSに脆弱性があることを公表した。この脆弱性はアニメーション・カーソル処理と関連しており、これが悪用されれば、PCの操作を攻撃者に乗っ取られる可能性もあるという。

　マイクロソフト・セキュリティ・レスポンス・センター（MSRC）が3月29日に公開した警告によると、この脆弱性は、マウス・ポインタの位置で矢印などのアニメーションを表示させるコンポーネント「Animated Cursor」（拡張子.ani）に存在する。

　MSRCの警告によれば、同脆弱性が存在するWindowsを利用しているユーザーが、攻撃コードが仕込まれたWebサイトを閲覧したり、悪質なマクロが添付された電子メールを開いたりした際に、攻撃コードが実行されるおそれがあるという。

　同脆弱性が存在するエディションは、Windows Vistaを含むWindows Server 2003/XP/2000。ただし、Vistaの場合は、標準搭載されているWebブラウザ「Internet Explorer（IE）7」の「保護モード機能」がデフォルトでは「有効」になっているため、IE 7の設定を変更していなければ、Webサイトを悪用した攻撃はブロックされる。とはいえ、保護モード機能は手動で変更できるので注意が必要だ。

　同脆弱性を最初に指摘したのは、セキュリティ対策ベンダーのマカフィーに籍を置くウイルス研究担当マネジャー、クレイグ・シュムーガー氏。同氏は自身のブログにおいて、Windows XP Service Pack（SP）2上で稼働するIE 6およびIE 7で脆弱性が確認されたと報告した。ただし、同OS上で稼働する「Firefox 2.0」では同脆弱性は確認されなかったという。

　シュムーガー氏は、悪質な「.ani」ファイルをVistaのデスクトップにドラッグするだけでOSのクラッシュと再起動を繰り返す“無限ループ”が引き起こされることを実証し、この映像を同社のWebサイトと動画配信Webサイトの「YouTube」で公開した。

　セキュリティ対策ベンダー各社は、同脆弱性に関する情報を直ちにユーザーに公開して警告を発している。シマンテックでは、インターネット上のリスク状況を総合的に示す指標「ThreatCon」を、1から2に引き上げた（5段階）。

　一方、MRSCでは、同脆弱性に対する攻撃は“非常に限定的”であり、現時点では“蔓延していない”としながらも、「この脆弱性に関する新たな情報を入手次第、継続して警告を発する」とコメントしている。

　マイクロソフトでは、ユーザーに自動配信される「セキュリティ・アップデート」でこの修正パッチを配布するとしているが、その配信時期については明言を避けている。同社の広報担当者は3月29日、「同脆弱性の調査が終了した時点でパッチを配布する」とコメントした。

　マイクロソフトが定期的に行っている次のアップデート・サイクルは4月10日である。少なくともそのときに修正パッチが配布されるはずだ。同社では、「（4月10日までは）信用できないWebサイトを閲覧したり、一方的に送られてきた電子メールを開いたりしないでほしい」という基本的なアドバイスをするにとどまっている。

(グレッグ・カイザー／Computerworld オンライン米国版)