マイクロソフトは2010年7月17日、Windowsに新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。Windows上で、細工が施されたショートカットファイルのアイコンを表示するだけで、ウイルスを実行される危険性などがある。実際、今回の脆弱性を悪用したウイルス攻撃(ゼロデイ攻撃)が確認されている。セキュリティ更新プログラム(修正パッチ)は未公開。同様の攻撃が広まるのは時間の問題だとして、セキュリティ企業各社は注意を呼びかけている。

 今回報告されたのは、ショートカットファイル(拡張子がlnk)の処理に関する脆弱性。細工が施されたショートカットファイルのアイコンを、エクスプローラーなどで表示するだけで、そのショートカットファイルで指定されたファイルが勝手に実行されるという。

 例えばあるフォルダーに、細工を施したショートカットファイルと、ウイルスファイルを用意。ショートカットファイルでは、そのウイルスを指定しておく。すると、ユーザーがそのフォルダーを開いただけで、ショートカットファイルがウイルスを実行。ウイルスに感染することになる。

 実際、今回の脆弱性を悪用したウイルス攻撃が確認されている。この攻撃ではUSBメモリーが使われている。攻撃用のUSBメモリーには、悪質なショートカットファイルとウイルスが保存されている。このUSBメモリーをパソコンに接続し、保存されているファイルを表示するだけで、ウイルスに感染してしまう。

 一般的なUSBメモリー悪用ウイルス(USBウイルス)とは異なり、自動再生(自動実行)機能を無効にしていても防げない。USBメモリーの中身をエクスプローラーで表示するだけで被害に遭う恐れがある。

 また、今回の脆弱性は、USBメモリーを使わなくても悪用可能とされている。Windowsのファイル共有やWebDAV経由でも悪用できるという。例えば、ファイルサーバーやWebサーバーに悪質なショートカットファイルとウイルスを置いておけば、該当のフォルダーを開いただけでウイルスに感染する。

 現時点では、今回の脆弱性を悪用した攻撃は限定的だという。だが、脆弱性の悪用が容易であり、なおかつ悪用方法が公開されているため、セキュリティ組織のサンズ・インスティチュートなどでは、攻撃が広まるのは時間の問題としている。

 影響を受けるのは、現在サポート対象となっているすべてのWindows。Windows 7やWindows Server 2008 R2といった最新版のOSも影響を受ける。Windows 2000とWindows XP SP2は「影響を受けるソフトウェア」に含まれていないが、これは、2010年7月14日にサポートが終了したため。サンズ・インスティチュートなどでは、これらも影響を受けるだろうとしている。

 修正パッチは未公開。マイクロソフトでは、回避策として「ショートカットファイルのアイコンを表示しないようにする」「(WebDAVで利用される)WebClientサービスを無効にする」を挙げている。これらの具体的な手順は、マイクロソフトの情報に詳しい。

 ただしセキュリティ企業などは、これらの回避策は現実的ではないと指摘。特に企業や組織などでは、実施するとユーザーが混乱するだろうとしている。

 そのほかの回避策としては、ウイルス対策ソフト(セキュリティソフト)の利用を挙げているところが多い。対策ソフトの多くは、最新の定義ファイル(パターンファイル)において、悪質なショートカットファイルや、そのファイルに実行されるウイルスに対応しているという。