一太郎に新たなゼロデイ攻撃、画面の「閃光」でマルウェアに感染

[ITmedia]

　ジャストシステムのワープロソフト「一太郎」に極めて重大な脆弱性が発覚した。不正な一太郎文書を使ったゼロデイ攻撃も確認され、ジャストシステムやセキュリティ各社が注意を呼び掛けている。

　ジャストシステムは8月3日、「一太郎シリーズの脆弱性を悪用し、不正なプログラムを埋め込む新たなウイルスの存在を確認」したとして、サイトで注意を喚起した。不正な一太郎文書を読み込むと、任意のコードが実行され、PCが不正に操作される危険性があるという。

　影響を受けるのは「一太郎2007／2006／2005／2004」「一太郎ガバメント2007／2006」「一太郎2007体験版」「一太郎 文藝」「一太郎13／12／11」「一太郎ビューア」の各製品。

　ジャストシステムは現在、アップデートモジュールを開発中で、準備ができ次第、速やかに公開する予定だしている。

　セキュリティソフトメーカーのSymantecは、不正な一太郎文書のサンプルを入手したと報告。この文書を開くと画面に閃光が走るが、これはマルウェアが脆弱性の悪用に成功し、もとの文書をクラッシュさせてしまったことを示す。その後新しい文書が開かれるが、中身は空白だという。

不正な一太郎文書がシステム上に作成するファイル（Trend Microセキュリティブログより）

　システムには「Trojan.Tarodrop.D」というドロッパー型トロイの木馬が感染する。ここからさらに別のトロイの木馬「Hacktool.Keylogger」を呼び込み、キーボードの入力情報を記録して、盗んだ情報を外部に送信する。さらに、システムに自らをコピーして、ユーザーが自分のファイルをすべて見られないようにしてしまうほか、ファイアウォールもかいくぐってしまう可能性が高いという。

　これらトロイの木馬の危険度は、Symantecの評価では低レベルとなっている。しかし、ここで悪用されている一太郎の脆弱性について、セキュリティ企業のSecuniaは、5段階で最も危険度が高い「Extremely critical」（極めて重大）と評価している。

　Secuniaが3日に公開したアドバイザリーによると、脆弱性は文書を処理する際のエラーが原因で発生し、悪用されると任意のコードを実行され、システムを制御される恐れがある。脆弱性の存在はゼロデイ攻撃が先行する形で発覚したが、現時点で詳しい情報は明らかになっていない。

　現時点でパッチが存在しないため、ジャストシステムでは、身に覚えのない電子メールに添付されている一太郎文書ファイルや、信頼できないWebサイトなどにある出所不明な一太郎文書ファイルを開かないよう、ユーザーに注意を呼び掛けている。