国内企業にゼロデイの脆弱性を突く標的型攻撃、IPAが緊急対策を喚起

Microsoftのグラフィックスコンポーネントに存在する脆弱性を突く標的型攻撃メールが国内の複数の企業に送り付けられたことが分かり、IPAが回避策の実施を呼び掛けている。

[ITmedia]

　情報処理推進機構（IPA）は11月20日、Microsoft製品に存在する未修正の脆弱性を突く標的型攻撃が国内企業で確認されたとして、緊急対策を実施するよう呼び掛けた。同日現在で脆弱性の修正プログラムが提供されておらず、Microsoftは「Fix it」などの回避策を提供している。

　この未修正の脆弱性「CVE2013-3906」は、グラフィックスコンポーネントにおけるTIFF画像の処理に関連するもの。Microsoftは5日に、この脆弱性を突く不正なWordファイルを使った攻撃を確認したとして、注意を呼び掛けていた。同社によると、脆弱性の影響を受けるのはWindows VistaとWindows Server 2008、Microsoft Office 2003〜2010およびMicrosoft Lyncの全バージョンとなっている。

　IPAによると、この脆弱性を突く不正なWordファイルが添付された標的型攻撃メールが、国内の民間企業などにも送り付けられていた。攻撃のメールの特徴は次の3点という。

• 件名、本文、添付ファイルに日本語が使われてる
• 添付ファイル名は「履歴書.zip」となっており、解答して得られるWordファイルを開くと、脆弱性を突いてマルウェアに感染させられる
• 組織外向けの問い合わせ窓口などにメールが送り付けられていた。業務上から社員などがメールを開く必要のあるルートを手口に用いたとみられる

攻撃事例のイメージ（IPAより）

　なお、確認された手口ではWordファイルが使われたが、別の形式のファイルの利用や不正サイトへの誘導といった手口が用いられる可能性もあるという。

　Microsoftは修正パッチを開発中だが、提供可能時期は未定。その間の回避策として同社ではTIFFコーデックを無効にする方法やこの対策を自動的に実装する「Fix it」を提供する。また、脆弱性悪用防止ツール「Enhanced Mitigation Experience Toolkit（EMET）」の導入も奨励している。

　IPAは、入手した検体を使ってFix itを適用したところ、不正なWordファイルを開いてもマルウェアに感染しないことを確認。Microsoftから修正パッチが提供されるまで、上述の回避策を実施してほしいとしている。