PowerPointゼロデイは産業スパイ?

PowerPointの脆弱性を悪用したゼロデイ攻撃は、トロイの木馬を使って企業の機密データを盗もうとする。その手口は巧妙で、産業スパイに関連する組織犯罪の可能性もある。

» 2006年07月21日 10時37分 公開
[Ryan Naraine,eWEEK]
eWEEK

 Microsoft Officeを狙う最新ゼロデイ攻撃で利用されているトロイの木馬の1つには、企業に対するスパイ行為を主目的とするという特徴がある。この問題を追跡しているウイルスハンターが報告した。

 米Symantecのアラートによると、この「Trojan.Riler.F」は、自らをレイヤードサービスプロバイダー(LSP)としてインストールし、感染したコンピュータに出入りするすべてのデータへのアクセスを手に入れる。

 LSPはWindowsのネットワーキングサービスの奥深くにリンクした正規のシステムドライバ。主に、Windowsがほかのコンピュータに接続できるようにするために使われている。だが、ウイルス作者は不正なプログラムをLSPとして動作させ、転送中の機密データをハイジャックする方法を発見した。

 またRilerは感染したシステムにバックドアを設け、soswxyz.8800.orgドメインに接続し、listenしてリモート攻撃者からのコマンドを待つとSymantecは説明している。

 Symantecの上級エンジニアリングディレクター、アルフレッド・ハガー氏は、脆弱性を悪用した不正なPowerPointファイルがマシンにTrojan.PPDropper.Cというマルウェアを感染させ、このマルウェアがRilerを含む2つのバックドア型トロイの木馬を投下するとしている。これらのトロイの木馬はコンピュータへの不正アクセスを可能にする。

 もう1つのトロイの木馬「Backdoor.Bifrose.E」はキー入力の内容を記録し、機密システムデータを奪って、それを中国でホスティングされているリモートサーバに転送する。

 フィンランドのセキュリティ企業F-Secureによると、Bitfroseは圧縮されていないPE形式の実行可能ファイルで、単純なアルゴリズムで暗号化されている。これは中国の無料ホスティングサービス「pukumalon.8800.org」に接続するようプログラムされている。

 8800.orgドメインは、ほかの似たホスティングサービスと同様に、今年幾つかのゼロデイ攻撃で利用されたとF-Secureの研究者ミッコ・ヒッポネン氏は指摘する。

 F-Secureのウイルス対策チームは、2005年3月、同年9月、2006年3〜5月と7月に中国でホスティングされたドメインに接続する複数のバックドアを発見した。

 「もしも企業が中国に拠点を置いておらず、中国の別のサービスにアクセスしていると思われるユーザーを抱えていないのなら、アクセスを遮断してもあまり問題はないかもしれない」(ヒッポネン氏)

 「少なくとも企業のゲートウェイログをチェックし、社内からそのようなサービスにどんなトラフィックが送られているのか確認することを勧める」と同氏は付け加えた。

 Microsoftにこの攻撃の特徴についてコメントを求めたが、同氏は取材を拒否し、PowerPointのセキュリティアドバイザリーを参照するよう述べた。

 Symantecのハガー氏は、この攻撃の巧妙さから、産業スパイに関連する組織犯罪であることがうかがえると語る。

 「今年観測したすべてのOffice攻撃が互いに関連しているのかどうかは分からない。だが、これらの攻撃は非常に似通った高度な手法を使っている」(同氏)

 例えばExcelへの攻撃とPowerPointへの攻撃はいずれも、これまで見たことのない方法で証拠を隠そうとする。

 「同じ攻撃者なのかどうかは分からない。だが、これまでに見たことのない手口だ。不正なファイルを残さずに、クリーンなファイルで上書きしている。新たなレベルの巧妙さだ」(ハガー氏)

 同氏は、この攻撃が「非常に限定されたもの」であるというMicrosoftの主張を確認したが、油断している米国企業に警告を発している。

 「一度この種の攻撃が行われたら、その標的が1社だけに限られることは珍しい。攻撃が続いていることを前提にするのが無難だ。この脆弱性のパッチはないのだからなおさらだ」(同氏)

 Microsoftは8月8日にPowerPoint 2000/2002/2003ユーザーにパッチを提供する計画だ。

 その間、Officeユーザーは社内の同僚から送られてきたように見えても、不審な添付ファイルに気をつけるようウイルス対策専門家は注意を促している。

 問題のPowerPointのゼロデイ攻撃は、Gmailのアドレスから中国語の件名で送られてくる。英セキュリティベンダーSophosによると、不正に細工されたPowerPointファイルは18枚のスライドで構成され、男女の愛に関する「ユーモラスな」哲学を含むという。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ