Windowsのショートカット脆弱性を悪用する「Stuxnet」を各社が警告

Stuxnetの検出国（Symantec Security Response Blogより）

　Windowsのショートカットファイル（.lnkファイル）に存在する脆弱性を悪用した攻撃が既に出回っているとして、セキュリティベンダー各社が注意を呼びかけている。

　脆弱性は、Windowsがショートカットファイルを処理する際に問題があり、特別に細工されたショートカットファイルのアイコンが表示されるタイミングで、任意のコードを実行させられる危険があるというもの。現在、マイクロソフトがサポートしている全てのOS（Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003）に影響があり、マイクロソフトがセキュリティアドバイザリを公開している。

　この脆弱性を悪用する攻撃としては、セキュリティベンダー各社が「Stuxnet」と命名したマルウェアが既に出回っていることが確認されている。米Symantecや米Microsoftの調査によれば、Stuxnetは現時点でインド、インドネシア、イランなどで多く検出されているという。

　また、Stuxnetは、インフラ設備の監視などに用いられるSCADAシステムへのアクセスを試みるなど多くの異なる機能が含まれるほか、ルートキットのコンポーネントも含まれているという特徴がある。ルートキットの仕組みとしては、Stuxnetは起動すると自身を「iexplore.exe」に埋め込み、「.lnk」で終わる全てのファイルと、「~WTR」で始まって「.tmp」で終わる全てのファイルを隠すことで、マルウェアが発見されることを防ごうとする狙いがある。

　マルウェア感染経路としては、主にUSBメモリーなどのリムーバブルメディアを経由するものが考えられる。USBメモリーを媒介とするマルウェアは、以前は「Autorun.inf」による自動実行を利用するものが流行したが、Stuxnetはユーザーがドライブを開いてアイコンが表示されたタイミングでマルウェアが起動するため、より警戒が必要となっている。

　Stuxnetに対して、Symantecでは「W32.Stuxnet」、Trend Microでは「WORM_STUXNET」、Microsoftでは「Win32/Stuxnet」といった名称で、セキュリティ対策ソフトでの検知に対応している。ただし、今後Stuxnetの亜種などが発生した場合には、パターンファイルの更新が間に合わないことも考えられる。

　マイクロソフトでは、この脆弱性の修正パッチを提供するまでの回避策として、レジストリの変更によりショートカットのアイコン表示を無効にする方法と、WebClientサービス（WebDAV）を無効にする方法を挙げている。ショートカットのアイコン表示を無効にした場合、すべてのショートカットは空白のアイコンとなる。また、WebClientサービスの無効化は、USBメモリーだけでなくWebDAV経由での攻撃を防ぐものだが、この回避策を実施した場合にはWebDAV共有は利用できなくなる。