一太郎の脆弱性を突くマルウェア、人事情報装うメールで日本に「着弾」

攻撃には「11/26及び11/30人事情報」という件名のメールが使われ、一太郎の拡張子「.jtd」が付いたファイルが添付されていた。

[鈴木聖子，ITmedia]

　セキュリティ企業の英Sophosは、ジャストシステムの日本語ワープロソフト「一太郎」シリーズの脆弱性を突くマルウェアの亜種が見つかったと伝えた。

　この脆弱性は、ジャストシステムが11月12日にセキュリティ情報を出し、修正のためのアップデートモジュールを公開している。

　Sophosの12月4日のブログによると、今回見つかった攻撃には、「11/26及び11/30人事情報」という件名のメールが使われていた。このメールには、一太郎の拡張子「.jtd」が付いたファイルが添付され、本文は「顧問より8月22日及び27日付人事情報をご送付頂きましたの添付にてお送りいたします」という文面で添付ファイルを開かせようとする内容だった。

　マルウェアに感染すると、ファイルを作成・削除されたり、レジストリを操作されたり、キーボード入力やスクリーンショットの情報などを盗まれたりする恐れがある。

　今回の攻撃は日本国内のみを標的としているが、まだそれほど広くは出回っていない様子で、感染を狙った電子メールの流通が確認されたのはこの1件のみだという。Sophosは別の筋からも複数のサンプルを入手したとしている。

日本で見つかった標的型攻撃メール（Sophosより）

　攻撃に使われたマルウェアは、これまでMicrsoft Wordの脆弱性を突いて拡散していた「PlugX」の亜種とみられるという。以前の攻撃ではチベット問題関連のメールで感染を試みていたのに対し、今回は日本語の事務連絡を装った内容に差し替えられているのが特徴。正規のアプリケーションのデジタル証明書を使う手口や、システムにバックドアを開いて攻撃者がリモートから命令を送れる状態にしてしまう機能などは、PlugXと共通しているという。

　なぜ一太郎が狙われたのかは不明だが、「PlugXの作者は、一太郎の脆弱性を悪用すれば、それまで到達できなかった被害者を攻撃する手段が獲得できると判断して、試してみることにした」とSophosは推定している。