一太郎を狙うゼロデイ攻撃

シマンテックは、ジャストシステムのワープロソフト「一太郎」に存在する未パッチの脆弱性を悪用して拡散するトロイの木馬に警告を発した。

» 2006年08月17日 19時55分 公開
[高橋睦美,ITmedia]

 一太郎がゼロデイ攻撃にさらされている――シマンテックは8月16日、ジャストシステムのワープロソフト「一太郎」に存在する未パッチの脆弱性を悪用して拡散するトロイの木馬「Trojan.Tarodrop」と「Infostealer.Papi」に対する警告を発した。

 Symantec Security Responseのブログによると、これらのマルウェアは、一太郎に存在する未パッチの脆弱性を悪用する。Unicodeの処理に問題があり、細工を施した一太郎形式の文書を開くとスタックオーバーフローが発生し、仕掛けられたコードが勝手に実行されてしまう。

 Trojan.Tarodropの本体は電子メールの添付ファイルとして流通しているという。この添付ファイルを開いてしまうと、脆弱性を突いてトロイの木馬がPC内に侵入し、さらに別のトロイの木馬であるInfostealer.Papiのインストールを試みる。Infostealer.Papiは、PC内から秘密情報を盗み出して、中国で登録されている外部ドメインのサイトに送信しようとする。

 Symantecでは、一太郎は主に日本で広く使われているため、これらトロイの木馬の影響も日本国内のみにとどまると予想している。実際、感染報告はほとんど寄せられていないということだ。

 ただし逆に言えば、これらのトロイの木馬は、「一太郎を利用している日本のユーザー」という特定のグループを狙った、ターゲットを絞った攻撃の1つであると見ることもできる。

 ジャストシステムでは、トロイの木馬に悪用された脆弱性についてシマンテックより報告を受け、現在、状況を確認している段階だ。影響を受ける製品や対応策などについては調査中であり、パッチのリリース予定などは追って明らかにしていくという。なおSymantecによると、脆弱性は少なくとも一太郎2005/2006で確認されているという。

 現時点では、パッチなどによる解決策は存在しないため、「不審な添付ファイル」「身に覚えのない添付ファイル」は開かないという鉄則を守ることで自衛を図るしかない。また、Symantecでは、2つのトロイの木馬を検出する定義ファイルをリリースしており、ユーザーに対し、最新の状態へのアップデートを呼びかけている。

 なお過去には、Microsoft WordExcelに存在する未パッチの脆弱性を狙う攻撃コードが登場していた。マイクロソフトが月例パッチをリリースした直後にこうしたゼロデイ攻撃が仕掛けられていたことから、Symantecでは1つの推測として、攻撃者らはあらかじめ複数の脆弱性を発見しておきながら、攻撃の効果を高めるために月例パッチの直後というタイミングで攻撃を仕掛けているという可能性に触れている。

Copyright © ITmedia, Inc. All Rights Reserved.