リージョナルトレンドラボは4月2日、マイクロソフト株式会社の「Microsoft PowerPoint」に存在する未知の脆弱性に対してゼロデイ攻撃（修正プログラム未公開のセキュリティホール：脆弱性を悪用する攻撃）を仕掛けるトロイの木馬「TROJ_PPDROP.AB」の報告を受信いたしました。既に日本国内のお客様からも検体提供いただいております。
※「TROJ_SHELLCOD.GO」の検出名より「TROJ_PPDROP.AB」へ変更いたしました。

攻撃タイプ	ベンダ発表（発表日：2009/4/2）			脆弱性情報
	会社名	識別番号	情報のタイトル	CVE（JVN）	深刻度
受動	マイクロソフト株式会社	969136	Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される	CVE-2009-0556	9.3（危険）
トレンドマイクロ製品による脆弱性緩和策
	ソリューション	バージョン	検出名、検出別名（2009/4/2時点）
	ウイルスパターンファイル	5.942.06	TROJ_PPDROP.AB

「CVE-2009-0556」の影響範囲を確認

　マイクロソフト社の発表によれば、「CVE-2009-0556」の影響範囲はMicrosoft Office PowerPoint 2003/2002/2000。なお、最新バージョンのMicrosoft Office PowerPoint 2007、無償PowerPointファイル閲覧ソフトのMicrosoft Office PowerPoint Viewer 2007/2003は影響を受けないソフトウェアとしてリストされています。

文書ファイル特有の攻撃手法

　これまでに確認された文書ファイルの脆弱性を衝いた受動的（誘導型）攻撃では、いくつかの定石と呼べる手口が明らかとなっています。今回確認されたPowerPointウイルスでも定石の踏襲が見られます。

1. 偽装工作、トロイの木馬のドロップ
   PowerPointウイルス「TROJ_PPDROP.AB」は、トロイの木馬「TROJ_KUPS.F」をドロップします。「TROJ_KUPS.F」は自身のファイル内に「TROJ_PPDROP.AB」（PowerPointウイルス）のファイル名とファイルパスを書き込みます。そして、自身のファイル内にある正常な形式のPowerPointファイルのデータにPowerPointウイルスと同じファイル名を与え、「TROJ_PPDROP.AB」を上書きした上で開きます。
2. バックドア、協調モジュールのドロップ
   PowerPointウイルス「TROJ_PPDROP.AB」は、同時にバックドア「BKDR_KUPS.F」を作成します。バックドアは単一の実行ファイルではなく、2つのDLLファイルと協調し、動作します。インジェクションにより正規プロセス（svchost.exe）を乗っ取り、不正活動を行います。バックドアの動作により、攻撃者はインターネット経由でコンピュータを掌握することが可能です。
3. 接続性を確認し、情報を送信
   WindowsUpdateサーバへ接続を試みることで、外部接続性を確認します。接続が確立できると、「http://b{BLOCKED}.com」（3日現在、韓国に位置するサーバ）へ接続が行われます。この振る舞いはバックドア活動の為に任意のコマンド発行を試みているものですが、4月3日現在、有効なコマンドの発行はありません。
4. フォレンジック調査妨害
   バックドア、協調モジュールである「BKDR_KUPS.F」は正常なシステムファイルである「sensapi.dll」とのタイムスタンプ同期が図られます。「sensapi.dll」は「System Event Notification サービス」にて使用されているDLLファイルです。

図1 「TROJ_TARODROP.BA」の動作フロー

今一度、事前の対策を確認

　今年は文書ファイルの新規攻撃が相次いでいます。今回で4例目（PDFウイルス（参考情報1.）、Excelウイルス（参考情報2.）、一太郎ウイルス（参考情報3.）、PowerPointウイルス）となります。

図2 ウイルスバスター2009によるPowerPointウイルス検出画面

　これら攻撃に悪用された脆弱性は既にパッチが公開されたもの、アドバイザリは公開されているもののパッチはリリース待ちのもの、混在している状況です。利用者へパッチの適用を委ねている場合には、各ソフトウェアに対するパッチ適用状況について確認をお願いいたします。

　加えて、利用者側で検討できる対策についても引き続きお願いいたします。

• レピュテーション技術の活用
• 総合セキュリティソフトの利用とアップデートによる最新状態の維持
• OSのみならず、アプリケーションの脆弱性に対する速やかな修正
• 不審なファイルは開かない
• データ実行防止（DEP：Data Execute Prevention）機能の利用検討
• 「Microsoft Office Isolated Conversion Environment（MOICE）」を使用したファイル変換

* 参考情報. マイクロソフト サポート技術情報：884515「Windows XP SP2 のデータ実行防止機能について」
* 参考情報. マイクロソフト セキュリティ アドバイザリ (937696)「Microsoft Office Isolated Conversion Environment (MOICE) および Microsoft Office 向けファイル ブロック機能の公開」

　最後に、こうした攻撃のメールの添付ファイルとして侵入するケースが多く、また送信者が詐称されている場合もあります。このため、たとえ知人からのメールであっても、言葉使いに不自然な点や普段と違う点が見られるなど、少しでも不審に思った場合には添付ファイルは開かず、送信者にオフラインで事実確認を行うことも有効です。

　また事前に取り決め可能であれば、メールによるファイル交換などから、オンラインストレージを利用したファイル交換に変更するなどの対策を検討することも防衛策の一つとなります。