Wordの脆弱性突いた新たなゼロデイ攻撃

[ITmedia]

　セキュリティ各社が5月19日、Microsoft Wordの未知の脆弱性を突いた電子メール攻撃について報告した。Microsoftでは問題を修正するためのパッチを作成し、6月にもリリースする予定。

　SANS Internet Storm Center（ISC）が公開した情報によれば、脆弱性は完全にパッチが当てられたシステムで確認され、特定の組織を標的とした電子メール攻撃に利用された。問題のメールは特定の個人あてに、その組織のドメインで内部から出されたように見せ掛けてあり、ウイルス対策ソフトでも検出されなかったという。

　添付されたWord文書を開くと、Wordの未知の脆弱性を突いてトロイの木馬が起動し、Wordがクラッシュする仕組みになっていた。攻撃の出所は中国と台湾であることが判明。IPとドメインは同国で登録され、メールもそこのサーバから送信されていたという。

　F-Secureでも攻撃のサンプルを入手して、Wordの脆弱性を突いたものであることを確認。同社によれば、これはrootkit機能を持ったトロイの木馬であり、感染したコンピュータにバックドアを仕掛けるという。

　実行されるとコマンドを受け取るため特定のアドレスに接続。攻撃者がこれを利用すると、感染したコンピュータでファイルとディレクトリの作成／読み込み／書き込み／削除、スクリーンショットや情報の取得、Windowsの起動や停止といった操作が可能になる。

　Microsoft Security Response Centerは19日、「Word XPとWord 2003の脆弱性を突いた『ゼロデイ』攻撃の報告について調査中」だとする説明をSANS ISCのサイトに寄せた。

　それによると、Microsoftではこの脆弱性に対処したWordのセキュリティアップデートを作成し、現在最終段階のテストを行っているところだという。6月13日に公開する月例アップデートに組み込むか、品質が保証されれば前倒しでリリースする予定だとしている。