JPEGの脆弱性とは？

2004年9月、JPEG画像を処理する部分に脆弱性が発見されました。

■WindowsやOfficeなどのマイクロソフト製品にJPEG処理の脆弱性

Microsoft製品を使って、JPEG画像を開くと、悪質なプログラムが実行されてしまうという脆弱性でした。

実はこれ結構衝撃的だったんですね。

というのは、JPEGやその他の画像ファイルというのは、不正なプログラムが仕掛けられている可能性が低いと考えられてました。

技術的にJPEG内に画像データ以外のデータを含めることは可能なんです。

でも、JPEGは実行ファイル形式ではないので、開いたら勝手にプログラムが動くとは、あまり考えられてなかったんですね。

なので、セキュリティ対策もそういった思い込みに合わせたものでした。

例えば、企業では、ユーザには直接インターネットに接続させないで、プロキシサーバ経由でWebアクセスをさせることが多いです。

このプロキシに、ウイルス対策ソフトが入ってることがあります。

そのウイルス対策ソフトが、ユーザがWebからダウンロードしてくるファイルを全部チェックしているとプロキシサーバ自身にすごい負荷がかかってしまいます。

だから、JPEGなどのようにウイルスに感染している可能性が低いと思われているファイルについては、チェックしない設定にすることによって負荷を減らすという運用方法が取られていたんです。

でもJPEGの脆弱性が発見されたことによって、この運用方法は通用しなくなってしまいました。

そういう意味で、従来の対応方法を変えさせるくらいのインパクトを持った脆弱性だったんですね。

このJPEGの脆弱性に対しては、脆弱性を狙ってくるウイルスも登場していました。

■ JPEG処理の脆弱性を悪用するトロイの木馬が続々と登場

修正パッチを適用することが根本的な解決なんですが、普段から不審なメールの添付ファイルを開かないように注意したり、HTMLメールは無効にする等の対策は取っておきましょうね。

ちなみに、Microsoftでのアナウンスは以下の通りです。

■JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される