『Microsoft Update』を通じた悪質なファイル感染の危険性

何百万、何千万人という Microsoft (NASDAQ:MSFT) 製品のユーザーは、更新サービス『Microsoft Update』を用いてセキュリティ更新を行なっている。しかし、セキュリティ対策製品ベンダーの Symantec (NASDAQ:SYMC) によると、Microsoft Update を通じて想定外のものを受け取ってしまう恐れがあるという。

Microsoft Update では、データ転送コンポーネントとして『Background Intelligent Transfer Service』(BITS) を用いているが、Symantec の研究員によると、セキュリティ対策を迂回した攻撃に悪用される恐れがあるという。BITS は、パッチ更新のための非同期型ダウンロード サービスとして、Windows 搭載パソコンのバックグラウンドで動作している。

Microsoft は取材に応じ、悪質プログラム『TrojanDownloader:Win32/Jowspry』が BITS を悪用し、ポリシーベースのファイヤーウォールを回避して、さらなる悪質プログラムをインストールするとの報告について、すでに認識していると述べた。

Microsoft によれば、このファイヤーウォールの回避は、Win32/Jowspry がシステム上に存在することが前提だという。つまり、Win32/Jowspry 自体の感染に BITS が介在するわけではない。一般的に考えられるシナリオは、ユーザーが不注意にも攻撃者のソーシャル エンジニアリング手法に引っかかり、Win32/Jowspry を動作させてしまった後に、Win32/Jowspry が BITS を利用して悪質なプログラムをダウンロードするというものだ。

Microsoft は、Win32/Jowspry 感染の可能性を取り除くため、『Windows Live OneCare』のセキュリティ機能『PC セーフティ』を利用してシステムをスキャンし、感染の有無を診断して、派生型を含む既知の Win32/Jowspry をすべて除去するよう推奨している。

BITS を利用すれば、ローカルのファイヤーウォールを回避できるため、悪質なファイルのダウンロードに利用するのは実に巧妙なやり方だ。この手法なら、ダウンロードは Windows 自身が行ない、不審な動作を伴わず勝手にファイルを持ち込むことができると、Symantec の研究員 Elia Florio 氏は同社の Blog『Security Response Weblog』で述べた。

Florio 氏によると、BITS 悪用の回避手段はなく、BITS でダウンロードすべきでないものを管理するのは困難だという。