ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

「日本が狙われた」、一太郎狙うウイルスを受けてジャストシステムがパッチ公開

» 2007年04月10日 18時37分 公開
[高橋睦美,ITmedia]

 ジャストシステムは4月10日、6日に明らかになった「一太郎」の脆弱性を修正するアップデートモジュールを公開した。既にこの脆弱性を悪用するウイルスが発見されていることから、早急な適用が望ましい。

 この脆弱性は、同社のワープロソフト「一太郎 2005/2006/2007」のほか、「一太郎ガバメント2006/2007」「一太郎2007体験版」「一太郎 文藝」「一太郎ビューア」に存在する。悪用されれば任意のコード実行につながる可能性があり、事実、この脆弱性を悪用してPCに感染するウイルスが報告された。

 10日に公開されたアップデートモジュールを適用すると、細工の施されたウイルスファイルを一太郎で開いても、読み込めないファイルとして扱われるため、不正な動作は発生しなくなるという。ジャストシステムでは、出所不明な一太郎文書ファイルを開く場合は、必ずこのモジュールを導入するよう呼び掛けている。

ターゲット型攻撃で狙われる日本

 この脆弱性を悪用するウイルスを発見し、報告したMcAfee Avert Labs(緊急ウイルス対策チーム)の本城信輔氏によると、同社でも2〜3社から調査依頼を受けているという。大規模に拡散しているわけではないが、この手の攻撃は広く無差別に攻撃を仕掛けるわけではなく、特定の企業/団体を狙うケースが多い。まさに標的を絞った「ターゲット型」攻撃と言えそうだ。

 同社はブログで、ウイルス「Exploit-TaroDrop.b」(McAfeeでの名称)の動作について紹介している。

 このウイルスは、日本語のファイル名で「jtd」という拡張子の付いた一太郎文書ファイルとして流通している。一太郎でこのファイルを開くと、脆弱性が悪用されてウイルスに感染。このウイルスはさらに、別のバックドアをダウンロードし、PC内にコピーしてしまう。

McAfeeがブログで公開したウイルスファイル本体のアイコン

 ユーザーが一連の感染に気付かないようにするための小細工も施す。ウイルスファイルが開かれ、感染すると、いったん一太郎を終了。その後すぐに、ウイルスが仕掛けられていない別の一太郎ファイルをダミーとして開くことで、ユーザーが疑いを起こさないようにするという。

上記のファイルを開くとウイルスに感染。それを隠すために別の一太郎ファイルが開かれる

 この小細工を見分けるポイントは、タイトルバーに示される「ファイル名」だ。最初に開いたファイルとは別のファイル名が示された場合は、異常を疑ってみるべきかもしれないと本城氏は指摘している。ただ、常にこの方法が有効とは限らないのも事実だという。

 一太郎をターゲットに、パッチが存在しない新たな脆弱性を狙って攻撃する「ゼロデイ攻撃」が仕掛けられるのは、2006年8月、9月に続いてのことだ。その理由は「日本が狙われたということ」だと本城氏は指摘。もちろん、日本だけが攻撃対象というわけではないが、確実に対象の1つになっているのは事実だという。

 しかも、攻撃手段は一太郎に限らないという。「Office製品の脆弱点でも、日本語のファイル名で、日本語のドキュメントが表示されるように細工をしているものが見られる」(同氏)

 対策は、まずパッチやアップデートを適用すること。そして最新の定義ファイルにアップデートした状態で、できればヒューリスティック検知機能を備えたウイルス対策ソフトを併用すること。それでも避けられないゼロデイ攻撃に備えるには、「身に覚えのない人間からのドキュメントは開かないことが大切」(本城氏)という。

Copyright © ITmedia, Inc. All Rights Reserved.