【NIKKEI NeT】によると、【先の記事(Windowsでパッチ未公開の危険なセキュリティホール発見、信頼できないページやファイルにはノータッチがベストな対応)】でも報じた昨年末に公開されたWindowsのセキュリティ・ホールをつく攻撃が次々出現しており、セキュリティ組織などが注意を呼びかけている。すでに200を超える攻撃手法が確認されているという報もあり(【発表リリース、英語】)、「備えよ常に」という認識が重要と思われる。

記事によると基本的な攻撃手法はフィッシングと似ており、メールやインスタントメッセンジャーに記述したリンクを使い、セキュリティ・ホールをついた悪質な画像ファイルを置いたサイトへユーザーを誘導するというもの。その画像ファイルから作動するプログラムのほとんどは、スパイウェアなどをダウンロードして実行するダウンローダーだという。

送付対象はスパムメールと同じように不特定多数によるものがほとんどだが、合法・非合法を問わず入手したリストに基づいて特定のユーザーに送られるケースもある。さらに季節柄、年賀状などのグリーティング・カードに見せかけたメールや、有名サイトがハッキングを受けて悪質な画像ファイルを組み込まれている場合、そして画像ファイルそのものを添付して直接送りつけてくるタイプもある。最後のパターンの場合、プレビューしただけで被害にあう可能性もあるという。

困ったことにこの、セキュリティ・ホールをついた「悪質な画像ファイル」を手軽に作成するツールもすでにネット上では出回っているとのこと。

米マイクロソフトでは1月10日に修正パッチのリリースを行う予定。それまでは極力危険を避けるよう注意したいところだ。