Wordのゼロデイ攻撃への対策は？ セキュリティ専門家らがアドバイス（1/2 ページ）

Microsoft Wordに発見されたセキュリティホールを狙ったゼロデイ攻撃が進行中だ。正式なパッチは6月の月例アップデートで提供される予定だが、それまでの間、この攻撃を緩和する方策はあるのだろうか。

[Ryan Naraine，eWEEK]

　セキュリティ専門家たちは、危険なコードが実行される恐れがあるMicrosoft Wordのセキュリティホールにパッチを適用する代わりに、Windowsユーザーがソフトウェア制限ポリシーを適用することによって、現在進行中のゼロデイ攻撃の影響を軽減できるとアドバイスしている。

　ウイルス対策研究者たちは5月中旬、広く普及しているWordプログラムのゼロデイ脆弱性を狙った攻撃が、高度な技術を持った中国と台湾のハッカーによって仕掛けられていると最初に警告した。

　悪質なハッカーたちがこの脆弱性を突いて、一部の企業に攻撃を仕掛けているとウイルス対策ベンダー各社が警告してから数日後、独立系セキュリティ研究者のマシュー・マーフィー氏が、Windows XPユーザーは「Basic User」SRP（ソフトウェア制限ポリシー）を使用するだけでリスクを軽減できると指摘した（関連記事）。

　「Basic User SRPを使えば、現在出回っているマルウェアがアクセスする特定のレジストリおよびファイルシステムロケーションへの書き込みを禁止した状態でMicrosoft Wordを起動できる」とマーフィー氏は「SecuriTeam」ブログに記している。

　「これは、今回のマルウェアの攻撃プロファイルに基づいた一時しのぎの対策であり、ユーザーが現在、管理者としてWordをインタラクティブに実行している場合にのみ必要な手段である」（マーフィー氏）

　「ベストプラクティスに従い、非管理者としてインタラクティブにログオンしている企業および個人の場合は、今のところ危険はない」とマーフィー氏は述べている。また、フル権限でない状態でWordを実行すれば、あらゆる攻撃のリスクが軽減される、と同氏は指摘している。

　さらにマーフィー氏は、winword.exeのすべてのインスタンスをBasic Userポリシーで実行するようSRPを設定するレジストリスクリプトをリリースした。「このレジストリ修正スクリプトの有効性は、既知のマルウェアの特徴に基づいたものであり、今後登場する亜種は異なる方法で脆弱性を利用する可能性がある」と同氏は述べている。

　問題のエクスプロイトコードは、電子メールに添付されたWord文書として送り込まれる。ユーザーが添付文書を開くと、脆弱性を狙った攻撃が起動し、rootkit機能を使ってバックドアを仕掛ける。rootkitはアンチウイルススキャナーから攻撃を隠蔽する役割を果たす。

　SANS InstituteのInternet Storm Center（ISC）は、ターゲットとなった匿名組織から攻撃に関する報告を受けたと日誌に記している。

　ISCのインシデント処理担当者、クリス・カーボーニ氏は、「この電子メールは社内から送られたメールのように見せかけており、署名も含まれていた。攻撃対象の個人名あてとなっており、ウイルス対策ソフトでも検出されなかった」と話す。

　添付された「.doc」ファイル（Word文書）を開くと、これまで知られていなかったWordの脆弱性を突いたエクスプロイトコードが起動し、最新のパッチが適用されたWindowsシステムにも感染する。このエクスプロイトコードはトロイの木馬を起動するドロッパーとして機能する。起動したトロイの木馬は直ちに、感染していない「クリーンな」コピーで元のWord文書を上書きする。

　「この攻撃の結果、Wordがクラッシュしてユーザーに問題を通知し、ファイルを再びオープンするよう促す。ユーザーが同意すると、新しい『クリーンな』ファイルが何事もなく開かれる」とISCの日誌は記している。